網路犯罪聯盟Scattered Lapsus$ Hunters企圖對超過100家企業發動大規模語音網釣

日前身分驗證業者Okta提出警告，他們發現有人以租用服務形式提供客製化的網釣套件，駭客再以此攻擊Google、微軟、Okta，以及加密貨幣供應商的用戶，企圖竊取單一登入（SSO）的憑證，傳出攻擊者的身分是駭客組織ShinyHunters，後續有資安公司提出警告，他們發現最近一個月裡，這些駭客已打算對超過100家企業組織發動攻擊。

威脅情資公司Silent Push近日發布特殊資安警報，由Scattered Spider、Lapsus$，以及ShinyHunters三組人馬組成的網路犯罪聯盟Scattered Lapsus$ Hunters（SLSH），正對全球超過100家高價值企業發動大規模身分竊盜活動，鎖定Okta等單一登入平臺，透過高度互動的即時釣魚技術繞過多因素認證（MFA），恐對企業核心系統構成重大風險。

Silent Push指出，這波攻擊並非傳統的自動化網釣，而是由真人操控、具高度互動的語音釣魚（Vishing）行動。攻擊者會在受害者登入流程中即時介入，利用即時釣魚控制臺（Live Phishing Panel）攔截帳號密碼與多因素驗證碼，取得企業單一登入連線階段的控制權。一旦這些駭客成功接管單一登入帳號，即可如同握有萬用鑰匙，存取企業內部多項雲端服務與應用程式，進一步進行資料竊取、橫向移動，甚至進行勒索。

根據Silent Push的統計，過去30天內已有多個產業成為攻擊目標，包括科技與軟體、金融服務、金融科技、生技製藥，以及不動產投資領域。受影響或遭觀測的企業涵蓋Atlassian、Canva、HubSpot、Adyen、SoFi、Moderna、GileadSciences、Blackstone、CBRE，以及WeWork等知名組織，駭客正積極從事攻擊活動，或是準備對應的基礎設施。

對此，他們呼籲這些企業組織應立即採取行動因應，因為SLSH的操作人員經常撥打電話給員工或是客服，同時即時操控釣魚網頁內容，讓受害者看到對應的登入資訊及通知，光是仰賴一般的資安意識訓綀，難以防範這類攻擊手法。企業應對員工及客服宣導，並要求只要收到疑似的訊息、電話，或是電子郵件，就要向主管及資安團隊通報；再者，企業也要稽查單一登入平臺的事件記錄，確認是否出現可疑的新裝置註冊事件，或是從來路不明的IP位址登入的情況。