威脅情報公司Dataminr揭露,網路犯罪集團Scattered LAPSUS$ Hunters(SLH)近期在Telegram平臺發布徵人訊息,徵求女性電訪員協助撥打語音釣魚(Vishing)電話,並提供每通電話500至1,000美元報酬。Dataminr研判,此舉顯示該集團正擴大社交工程攻擊的人力來源,並嘗試透過不同來電身分提高冒充企業IT服務臺(Help Desk)的成功率。
Dataminr表示,SLH相關成員宣稱會提供預先撰寫的溝通話術腳本,並要求電訪員假冒IT支援人員或企業員工致電受害者,藉此展開社交工程攻擊。這類攻擊通常鎖定企業IT服務臺或客服支援流程,誘使支援人員協助重設帳號或變更驗證設定,一旦成功,攻擊者便可能取得企業系統的初始存取權。
.png)
圖片來源/Dataminr
Dataminr指出,SLH被視為由多個知名網路犯罪團體成員組成的「超級集團」(supergroup),包括LAPSUS$、Scattered Spider與ShinyHunters。這些團體曾入侵多家大型企業並外洩大量資料,相關活動據估計已造成超過15億筆資料外洩。多份威脅研究也認為,這些組織並非單一結構,而是由成員彼此重疊的鬆散犯罪網路所組成。
Dataminr指出,SLH的主要動機通常與勒索與資料外洩有關。過去受害組織包括Google、Cisco與Adidas等大型企業,以及多家Salesforce客戶。
在相關團體中,網路安全廠商Palo Alto Networks旗下威脅情報團隊Unit 42指出,Scattered Spider在其追蹤系統中被命名為Muddled Libra,並持續追蹤該團體的入侵活動。Unit 42在2025年9月調查的一起事件中發現,攻擊者取得高權限憑證後建立虛擬機器,進一步在Active Directory環境中蒐集帳號與權限資訊,並嘗試存取Outlook郵件檔案與Snowflake資料庫中的資料。
資安業者ReliaQuest的研究則顯示,與SLH相關的資料外洩組織ShinyHunters近期開始利用對手中間人(Adversary-in-the-Middle,AiTM)手法發動釣魚攻擊。這類攻擊會在使用者與真正服務之間架設中介代理伺服器,即時轉送登入與MFA驗證流程,藉此攔截已完成驗證的登入工作階段。
研究人員觀察到,攻擊者會註冊類似「<organization>.sso-verify[.]com」格式的子網域,並在電話交談過程中引導受害者登入該網站。一旦取得有效的單一登入(Single Sign-On,SSO)工作階段,攻擊者便可能在不需於受害者裝置部署惡意程式的情況下,直接存取其企業雲端服務與敏感資料。
研究同時指出,ShinyHunters疑似建立類似呼叫中心的犯罪營運模式「SLH Operations Centre」,透過外包人員執行電話、電子郵件與簡訊等社交工程攻擊,以低成本與高頻率擴大攻擊規模。
Dataminr建議企業加強IT服務臺人員的社交工程防範訓練,並強化帳號重設與MFA變更流程的身分驗證,同時監控相關操作後是否出現異常登入或權限變更等跡象。
熱門新聞
2026-03-06
2026-03-06
2026-03-09
2026-03-06
2026-03-09
2026-03-06
