HackerNews 编译，转载请注明出处： 美亚保险（Aflac）发布的最新声明显示，该公司今年 6 月发生的一起数据泄露事件，已导致超 2200 万客户的个人信息遭泄露。 这家总部位于美国佐治亚州的保险巨头于上周五发布声明，公布了针对今年年初披露的一起网络安全事件展开的、历时数月的调查结果。 美亚保险此前曾向美国证券交易委员会预警称，尽管公司在 “数小时内” 就成功阻止了黑客入侵，但部分文件仍已被网络犯罪分子窃取。 该公司重申，此次事件未受到勒索软件的影响。目前，美亚保险已着手向各州监管机构通报这起攻击事件，并向受害者发送数据泄露通知函。 得克萨斯州相关部门表示，该州超 200 万居民受此次事件波及；经统计，本次信息泄露事件的受害者总数约达2270 万人。 此次网络攻击未对美亚保险的日常运营造成影响，但被盗文件中包含其美国业务涉及的客户、受益人、员工、代理人及其他相关人员的保险索赔信息、健康数据、社保号码以及其他个人详细信息。 事发后，美亚保险已向联邦执法部门报案，并聘请网络安全专家处理此次事件。 通知函指出，相关调查已于 12 月 4 日结束，受害者可免费享受为期两年的身份信息保护服务，而该服务的注册截止日期为 2026 年 4 月 18 日。 此次数据泄露事件，发生于黑客组织 Scattered Spider针对保险业发起的一系列攻击行动期间。该组织由一群松散结盟的英语系网络犯罪分子组成，其惯用手法是伪装成信息技术人员，以此侵入大型企业网络。同期，伊利保险、费城保险公司以及斯堪尼亚金融服务公司均曾报告遭受网络攻击。 自这些攻击事件发生以来，执法部门已关停该黑客组织用于泄露数据的网站，且两名组织成员在英国被逮捕并提起诉讼。美国司法部于今年 9 月公开的一份起诉书显示，过去三年内，“分散蜘蛛” 这一网络犯罪团伙通过勒索，已从数十名受害者处榨取至少 1.15 亿美元的赎金。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FBI 查封了黑客组织 ShinyHunters所使用的 BreachForums 论坛域名。该域名此前被用作数据泄露勒索平台，与针对 Salesforce 的大规模攻击相关；而该黑客组织声称，执法部门还窃取了这个臭名昭著的黑客论坛的数据库备份。 此次被查封的域名为 Breachforums.hn。今年夏天，该域名曾被用于重新上线 BreachForums 黑客论坛，但不久后，因多名涉嫌运营该论坛的人员被捕，网站再次下线。 2025 年 10 月，一个名为 “Scattered Lapsus$ Hunters”的黑客团伙将该域名改造为 Salesforce 数据泄露平台，以勒索那些受 Salesforce 数据窃取攻击影响的企业。该团伙声称其成员与 ShinyHunters、Scattered Spider及 Lapsus$这三个勒索组织存在关联。 上周二，该平台的明网域名 breachforums.hn 及其 Tor 暗网版本均已下线。其中，Tor 暗网站点很快恢复访问，但 BreachForums 明网域名始终无法打开 —— 其域名已切换至美国政府此前查封其他域名时所用的 Cloudflare 域名服务器。  10 月 9 日晚，FBI 完成了查封行动：在该网站添加了查封公告横幅，并将域名的域名服务器切换为 ns1.fbi.seized.gov 与 ns2.fbi.seized.gov。 根据查封公告内容，在美国与法国执法部门的协作下，双方在 Scattered Lapsus$ Hunters团伙开始泄露 Salesforce 攻击所获数据之前，就已控制了 BreachForums 论坛的网络基础设施。 然而，由于该团伙的 Tor 暗网站点仍可访问，其声称将在美国东部时间10月10日晚 11 点 59 分开始泄露 Salesforce 相关数据，目标直指未支付赎金的企业。 2023 年以来的数据库备份已被 FBI 掌控 除捣毁上述数据泄露平台外，ShinyHunters 组织证实，执法部门还获取了 BreachForums 黑客论坛此前多个版本的存档数据库。 “BleepingComputer”媒体核实，ShinyHunters通过 Telegram 发布了一条用其 PGP 密钥签名的信息。该黑客组织在信息中称，此次查封 “早已不可避免”，并表示 “论坛时代已经结束”。 通过对执法部门行动后的情况分析，ShinyHunters得出结论：2023 年以来 BreachForums 论坛的所有数据库备份，以及该论坛最新一次重启后所有的第三方托管（escrow）数据库，均已被泄露。 该团伙还表示，其后台服务器已被查封，但该组织在暗网上的数据泄露站点仍在运行。 ShinyHunters称，其核心管理团队无人被捕，但不会再重新上线 BreachForums 论坛，并指出从今往后，此类论坛都应被视为 “蜜罐”。 根据该黑客组织的消息，在RaidForum平台被捣毁后，同一核心团队曾计划多次重启论坛，并利用 pompompurin等管理员作为幌子。 ShinyHunters 团伙在 FBI 查封 BreachForums 后的声明 该网络犯罪团伙强调，此次查封并未影响其针对 Salesforce 的攻击行动，数据泄露仍按原计划于美东时间当日晚 11 点 59 分进行。 该团伙的暗网数据泄露站点显示，受 Salesforce 攻击影响的企业名单冗长，其中包括联邦快递（FedEx）、迪士尼 / 葫芦视频（Disney/Hulu）、家得宝（Home Depot）、万豪（Marriott）、谷歌（Google）、思科（Cisco）、丰田（Toyota）、盖璞（Gap）、麦当劳（McDonald’s）、沃尔格林（Walgreens）、因斯塔卡特（Instacart）、卡地亚（Cartier）、阿迪达斯（Adidas）、萨克斯第五大道精品百货（Saks Fifth Avenue）、法航 – 荷航集团（Air France & KLM）、环联（TransUnion）、HBO MAX、联合包裹速递服务公司（UPS）、香奈儿（Chanel）及宜家（IKEA）等。 黑客声称，他们窃取了超 10 亿条包含用户信息的记录。 Scattered Lapsus$ Hunters利用 BreachForums 开展 Salesforce 攻击行动 BreachForums 论坛最近一次以经典形式重启，是由ShinyHunters于 2025 年 7 月宣布的 —— 此前几天，法国执法部门逮捕了该论坛前几次重启版本的 4 名管理员，其中包括用户名分别为 ShinyHunters、Hollow、Noct 和 Depressed 的人员。 与此同时，美国当局宣布对凯・韦斯特（Kai West）提起指控。凯・韦斯特又名 “IntelBroker”，是 BreachForums 网络犯罪生态系统中的知名成员。 2025 年 8 月中旬，BreachForums 论坛下线。ShinyHunters发布了一条经 PGP 签名的消息，称该论坛的基础设施已被法国 BL2C 部门（注：法国警方专门打击网络犯罪的单位）和 FBI 查封，并警告不会再有后续重启计划。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 捷豹路虎（JLR）正在调查一个与“Scattered Spider”（散裂蜘蛛）组织有关的黑客联盟所声称的、对这家汽车制造巨头的攻击负责的说法。 该英语网络犯罪组织据信应对今年早些时候针对英国零售商玛莎百货（M&S）、Co-op 和哈罗德（Harrods）的网络攻击负责。 英国广播公司（BBC）报道了这一声称，该报道基于与一位自称是该集团发言人的个体的私人短信对话。该集团自称为“Scattered LapsusHunters”，暗示了ScatteredSpider、ShinyHunters和Lapsus之间可能存在合作。 BBC称，该集团声称已访问了捷豹路虎的系统，并试图向该公司勒索钱财。 目前尚未确认是否有数据被窃，或Scattered Lapsus$ Hunters是否安装了勒索软件。 然而，该集团在即时通讯应用Telegram上分享了声称截取自捷豹路虎IT网络内部的截图。这些未经核实的图像包括用于排查汽车充电问题的内部指令和内部计算机日志。 捷豹路虎的一位发言人在回应置评请求时表示：“我们知悉与近期网络事件相关的声称，我们正在持续积极调查。” 捷豹路虎于9月2日首次确认遭受网络事件，称在汽车制造商主动关闭系统以减轻事件影响后，其销售和生产运营受到严重干扰。 由于网络事件造成的干扰，在英国默西塞德郡哈利伍德（Halewood）生产工厂工作的员工被告知9月2日星期二不要上班。 截至撰写本文时，捷豹路虎尚未提供有关运营影响的进一步细节。然而，当地新闻媒体《利物浦回声报》在9月4日报道称，捷豹路虎员工仍未返回默西塞德郡工厂。 Scattered Spider 寻求关注其活动 NetSPI EMEA服务总监Sam Kirkman表示，该集团与BBC的互动显示了其希望引起外界对其活动关注的渴望，这是其在4月份攻击玛莎百货后也采用过的策略。 他指出：“该集团努力吸引人们关注其活动，这表明除了对目标进行财务勒索外，运营中断和声誉影响也是其目标。” Kirkman继续表示：“需要注意的是，截图无法核实，可能是为了给该集团吸引更多关注而伪造的。” ESET全球网络安全顾问Jake Moore指出，像Scattered Spider这样的黑客组织正变得越来越大胆，热衷于炫耀他们的“成功”。 他评论道：“通过使用Telegram来炫耀他们的声称和勒索要求，这显示了其肆无忌惮的自信，认为可以保持不被发现，这简直是在受害者的伤口上撒盐。” 明显的跨集团合并令人担忧 Acumen Cyber的首席顾问Nathan Webb认为，Scattered Spider与ShinyHunters和Lapsus$的明显合作可能会对该集团的能力产生重大影响。 这三个集团都以使用社会工程学技术进入目标而闻名，之后使用勒索和数据窃取等策略获取经济利益。 最近，Scattered Spider和ShinyHunters使用了语音钓鱼（vishing）技术来获取第三方IT提供商的高价值凭证。这包括ShinyHunters被报道的入侵Salesforce客户凭证事件，影响了包括谷歌、香奈儿和阿迪达斯在内的公司。 Webb评论说：“这些威胁行为者显然已经联合起来，以提高建立初始访问受害者系统的有效性，该集团在技术和可用数据上进行合作以增强其攻击。” 他补充道：“威胁行为者集团之间为实施犯罪而日益增长的合作，强调了他们现在多么像企业一样运作，并强化了加强防御的必要性。” 与Scattered Spider一样，ShinyHunters和Lapsus$也由讲英语的行为者组成。 Scattered Spider和ShinyHunters与“The Com”有关，这是一个松散组织的在线犯罪网络，涉及数千名讲英语的个人。 据信这些集团包含年轻的，通常是青少年黑客。 2023年8月，英国法院认定一名牛津青少年对涉及知名品牌的一系列黑客事件负责，其是臭名昭著的Lapsus$集团的一部分。 2025年7月，英国执法部门逮捕了三名青少年和一名20岁男子，怀疑他们参与了4月份针对玛莎百货、Co-op和哈罗德的网络攻击。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国知名网络犯罪团伙“散裂蜘蛛”（Scattered Spider）一名20岁成员被判处十年监禁，其涉嫌参与系列重大黑客攻击及加密货币盗窃案。诺亚·迈克尔·厄本（Noah Michael Urban）已于2025年4月对电信欺诈和严重身份盗窃指控认罪。该判决由彭博社及杰克逊维尔当地媒体News4JAX率先报道。 除120个月联邦监禁外，厄本还需接受三年监督释放，并向受害者支付1300万美元赔偿金。厄本向安全记者布莱恩·克雷布斯表示，该判决“不公正”。 厄本曾使用“Sosa”“Elijah”“King Bob”“Gustavo Fring”“Anthony Ramirez”等多个化名，于2024年1月在佛罗里达州被捕。美国司法部指出，其在2022年8月至2023年3月期间实施的电信欺诈和严重身份盗窃，造成至少五名受害者损失超80万美元。 检方称，厄本与同伙通过SIM卡劫持攻击劫持受害者加密货币账户，盗取数字资产。2024年11月，美国司法部对厄本及其他四名散裂蜘蛛成员提起刑事指控，指控其利用社会工程学手段针对美国企业员工，入侵公司网络窃取专有数据并转移数百万美元加密货币。其中同伙泰勒·罗伯特·布坎南（Tyler Robert Buchanan）已于2025年4月从西班牙引渡回美国。 当前，散裂蜘蛛已与ShinyHunters、LAPSUS$等黑客组织组成新联盟。该团伙关联更广泛的英语系网络犯罪团体“The Com”，长期从事社会工程学攻击、凭证窃取、SIM卡劫持、初始访问渗透、勒索软件部署、数据盗窃及敲诈勒索。 零狐（ZeroFox）情报副总裁亚当·达拉表示：“散裂蜘蛛惯用制造紧迫感、吸引媒体关注、威胁曝光等手段迫使受害者快速付款。定时泄露信息、倒计时威胁及嘲讽安全公司均是他们的固定策略。与其他团伙的合作使其获得更多工具、数据和基础设施，威胁性成倍放大。执法打击加剧时，这类组织往往通过合并求生，最终形成更具破坏力的联合体。” 网络安全公司Flashpoint近期分析指出，该以牟利为目的的黑客组织采取“波浪式攻击策略”——短期内集中攻击特定行业多家企业。“散裂蜘蛛的战术证明，通过社会工程学手段（如语音钓鱼、短信钓鱼、MFA疲劳攻击）针对人员而非系统漏洞进行攻击，可轻易绕过最先进的技术防御体系。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织Scattered Spider（又称0ktapus、Muddled Libra、Octo Tempest和UNC3944）正针对北美零售、航空及运输行业的VMware ESXi虚拟机管理程序发起攻击。谷歌旗下Mandiant团队指出，该组织主要采用欺骗性电话联系IT服务台的社会工程手段，而非利用软件漏洞实施入侵。 Scattered Spider采用“利用合法工具”（Living-off-the-Land）策略：通过社会工程获取访问权限后，滥用Active Directory权限渗透VMware vSphere环境，窃取数据并从虚拟机管理程序层部署勒索软件。此方式可绕过端点检测与响应（EDR）工具的防护，几乎不留入侵痕迹。 该策略高效的核心原因在于：虚拟中心设备（VCSA）与ESXi虚拟机管理程序无法运行传统EDR代理，导致虚拟化层存在严重的监控盲区。 该犯罪团伙的攻击链包含五个精密阶段： 第一阶段：社会工程突破 UNC3944利用个人信息（如社保号、出生日期）伪装成员工致电IT服务台，请求重置用户及特权管理员账户密码。此策略绕过传统技术攻击，直接获取内部访问权限。入侵后执行双路径侦查： A路径：扫描SharePoint等内部文档定位“vSphere Admins”等高权限AD组 B路径：窃取密码管理器或特权访问管理（PAM）工具中的凭证 锁定特权用户后，二次致电冒充目标获取完全管理员权限，为攻击VMware基础设施奠定基础。防御需监控密码重置行为、异常AD组变更及文件访问，关键措施包括禁止电话渠道的特权账户密码重置，并强化敏感系统与文档保护。 第二阶段：vCenter接管 获取AD特权凭证后，攻击者登录vCenter图形界面，重启VCSA虚拟机修改GRUB获取root shell权限。随后重置root密码、启用SSH服务，并部署合法远程工具Teleport建立持久化加密C2通道。此隐蔽控制手段得以成功，源于vCenter默认信任AD认证且缺乏多因素验证（MFA）机制。 第三阶段：离线凭证窃取 攻击者启用ESXi主机SSH服务，强制关闭域控制器虚拟机，挂载其虚拟磁盘至孤立虚拟机，提取NTDS.dit文件。数据通过Teleport通道外泄。此隐蔽方法规避EDR检测及网络分段防护。关键防御包括启用虚拟机加密、清理未使用虚拟机、强化ESXi访问控制，并开启远程审计日志。 第四阶段：备份系统破坏 在部署勒索软件前，攻击者滥用域管理员权限或向AD添加”Veeam Administrators”组成员，删除备份任务及虚拟机快照，蓄意破坏恢复能力。 第五阶段：超高速勒索攻击 通过ESXi主机SSH上传勒索软件，强制关闭所有虚拟机并加密虚拟磁盘文件。此操作完全绕过虚拟机内部安全防护。 谷歌威胁情报小组（GTIG）在报告中总结：“防御UNC3944的攻击策略需根本性转变——从依赖EDR威胁狩猎转向主动式基础设施核心防护。该威胁与传统Windows勒索软件存在两大差异：速度与隐蔽性。传统攻击者可能耗费数日甚至数周进行侦查，而UNC3944以极端速度行动；从初始入侵到数据外泄再到最终勒索部署，全程可在短短数小时内完成。这种速度与极少的取证痕迹相结合，要求企业不仅要识别异常，更需实时拦截可疑行为模式，方能阻止全面入侵。”       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软强调了Scattered Spider攻击组织不断演变的战术，并确认已观察到该组织使用新的手法来获取云环境访问权限。 通常，该被微软追踪为Octo Tempest的组织会利用云身份权限来获取本地访问权。但微软表示，最近的攻击活动在入侵初始阶段就涉及同时针对本地账户和基础设施，之后才转向云访问。该组织还被观察到部署DragonForce勒索软件。这家科技巨头的分析报告强调，此次勒索软件部署特别针对VMWare ESX虚拟机管理程序环境。 该组织继续使用激进的社工手段（如操控服务台支持人员）来获取初始访问权限，还部署了利用模仿合法组织的中间人(AiTM)域名的短信钓鱼(SMS) 攻击。 最近，该组织一直在积极针对航空公司实施勒索软件和数据勒索攻击。在2025年4月至7月间，其活动还针对了零售、餐饮服务、酒店组织和保险行业。 微软表示，随着Scattered Spider战术的不断演变，其安全产品将持续更新防护措施。 该公司特别强调了其Microsoft Defender和Microsoft Sentinel安全生态系统。 微软列举了Microsoft Defender中的广泛检测功能，可用于识别与Scattered Spider相关的活动。这些功能覆盖其安全组合的各个方面，包括端点、身份、软件即服务(SaaS)应用、电子邮件与协作工具、云工作负载等，以提供全面的防护覆盖。 攻击可通过利用Microsoft Defender内置的自防御能力（攻击中断）来阻断。攻击中断利用多个指标和行为，并在Microsoft Defender的各工作负载中将其关联为一个高保真事件。 微软表示，基于以往对常见Octo Tempest技术的研究，攻击中断将自动禁用Octo Tempest所使用的用户账户，并撤销该受损用户所有现有活跃会话。 然而，安全运营中心(SOC)团队仍需进行事件响应和事后分析，以确保在成功中断攻击后，威胁被完全遏制和清除。 微软强调了安全团队可通过其安全暴露管理(Security Exposure Management)解决方案采用的若干主动防护战术，以应对Scattered Spider。若部署得当，主动防御战术可以减少暴露面并减轻攻击者混合攻击战术的影响。这些战术包括关键资产防护、威胁行为者计划和攻击路径分析。 微软建议组织应通过（包括但不限于）多重身份验证(MFA)、基于风险的登录策略、用户和设备的最小特权访问等措施，来增强其身份、端点和云安全防护。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国国家犯罪署（NCA）7月10日（周四）宣布，已逮捕四名涉嫌针对玛莎百货（Marks & Spencer）、Co-op集团和哈罗德百货（Harrods）等主要零售商发动网络攻击的嫌疑人。 被捕人员包括两名19岁男性、一名17岁男性和一名20岁女性。他们在西米德兰兹郡和伦敦被捕，涉嫌违反《计算机滥用法案》、敲诈勒索、洗钱以及参与有组织犯罪集团活动。所有嫌疑人都是在住所被捕，其电子设备已被扣押以进行进一步取证分析。嫌疑人姓名未予披露。 “自这些攻击发生以来，NCA网络犯罪部门的专业调查人员一直在加紧工作，此案仍是本机构的首要任务之一，”NCA国家网络犯罪部门负责人、副总监保罗·福斯特在一份声明中表示。“今天的逮捕是调查的重要一步，但我们的工作将继续进行，与英国及海外合作伙伴共同努力，确保将责任者绳之以法。” 根据网络监控中心（CMC）的数据，2025年4月针对玛莎百货和Co-op集团的网络攻击被归类为“单一组合网络事件”，造成的财务影响预计在2.7亿英镑（约合3.63亿美元）至4.4亿英镑（约合5.92亿美元）之间。 NCA未透露嫌疑人所属的“有组织犯罪集团”名称，但据信部分攻击由名为“Scattered Spider”的去中心化网络犯罪团伙实施。该团伙因使用高级社会工程手段入侵组织并部署勒索软件而臭名昭著。 在7月8日英国议会举行的商业贸易与经济安全、武器及出口管制小组委员会听证会上，玛莎百货证实其系统遭受的攻击与勒索软件相关，由“DragonForce”勒索软件组织与其他“松散结盟”的行为者共同实施。 “虽然勒索软件是持续存在的威胁，但‘Scattered Spider’代表着一个顽固且能力出众的对手，其攻击行动即使在安全体系成熟的组织中也屡屡得手，”GuidePoint Security高级安全顾问格雷森·诺斯表示。“该团伙的成功并非源于新颖的战术，而是归因于其社会工程技巧以及在尝试获取目标初始访问权限时表现出的极端持久性。” 这个以经济利益为驱动的团伙多数成员为年轻的英语母语者，这使其在伪装成员工致电IT服务台骗取信任时占据优势。“Scattered Spider”隶属于更大的松散组织“The Com”，该组织涉足多种犯罪活动，包括社会工程、网络钓鱼、SIM卡交换、敲诈勒索、性勒索、报假警、绑架乃至谋杀。 网络安全公司Halcyon指出，“Scattered Spider”展现出精算且机会主义的攻击策略，基于目标可见度、潜在收益和行动风险在不同行业与地区间轮换目标。谷歌旗下Mandiant表示，该团伙习惯逐行业集中攻击，同时保持其核心战术、技术和程序（TTPs）的一致性，包括设立高度仿冒企业合法登录门户的钓鱼域名以诱骗员工泄露凭证。 “这意味着组织可采取主动防御措施，例如培训服务台人员执行严格的身份验证流程，并部署防钓鱼的多因素认证（MFA）来抵御此类入侵。”谷歌云Mandiant咨询部门首席技术官查尔斯·卡玛卡尔表示。卡玛卡尔称此次逮捕行动是对抗该网络犯罪集团的“重大胜利”，并强调国际合作对打击此类威胁至关重要。“他们激进的社交工程策略和持续渗透行为对众多防御者构成严峻挑战，并对英美两国的组织造成重大损害。此前逮捕行动曾导致其活动显著减少，这为各组织强化防御提供了关键窗口期。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）披露，臭名昭著的网络犯罪组织Scattered Spider已将其攻击范围扩大至航空业。为此，该机构正积极联合航空业及行业合作伙伴共同打击此类活动并协助受害者。 FBI在社交媒体平台X上发布声明称：“该组织依赖社会工程学技术，通常冒充员工或承包商欺骗IT服务台以获取访问权限。这些技术常涉及绕过多因素认证（MFA）的方法，例如诱使服务台人员在受感染账户中添加未经授权的MFA设备。” Scattered Spider的攻击还以第三方IT供应商为目标获取大型机构访问权限，使得可信供应商和承包商面临潜在攻击风险。此类攻击通常为数据窃取、勒索和勒索软件攻击铺平道路。 Palo Alto Networks旗下Unit 42的研究员Sam Rubin在LinkedIn确认该威胁组织针对航空业的攻击，敦促各机构对高级社会工程学尝试和可疑的MFA重置请求保持“高度警惕”。 谷歌旗下Mandiant公司近期曾警告Scattered Spider瞄准美国保险业，此次也呼应了该警报，表示已察觉多起手法与该黑客组织作案模式相似的航空运输业安全事件。Mandiant的Charles Carmakal建议：“行业应立即采取措施，在向员工/承包商账户添加新电话号码（可能被威胁分子用于自助密码重置）、重置密码、向MFA解决方案添加设备或提供员工信息（如员工ID）前，严格加强服务台身份验证流程。” Scattered Spider持续得逞的关键在于其对人类工作流程的深度理解。即使存在MFA等技术防御措施，该组织仍专注于系统背后的人员——他们深知服务台员工也可能被精心编造的故事蒙蔽。这并非暴力破解，而是通过短暂建立信任实施渗透。在时间紧迫或压力较大时，伪造的员工请求极易蒙混过关。因此各机构需超越传统端点安全策略，重新评估实时身份验证机制。 该组织活动与Muddled Libra、Octo Tempest、Oktapus、Scatter Swine、Star Fraud及UNC3944等威胁集群存在重叠。该组织最初以SIM卡交换攻击闻名，其初始入侵手段涵盖社会工程学、服务台钓鱼和内部访问等技术，专门渗透混合环境。安全公司Halcyon指出：“Scattered Spider代表着勒索软件风险的重大演变，融合了深层社会工程学、多层次技术复杂性和快速双重勒索能力。该组织能在数小时内突破防御、建立持久访问、窃取敏感数据、禁用恢复机制，并在本地和云环境中引爆勒索软件。” 真正使其具备高度危险性的是其“耐心策划与突然发难”的组合策略。Scattered Spider不仅依赖窃取凭证，更投入大量时间收集目标情报，常结合社交媒体研究和公开泄露数据实施精准身份冒充。此类混合威胁融合商业邮件入侵（BEC）技术与云基础设施破坏手段，具有极强的隐蔽性。 该组织隶属于名为“The Com”（又名Comm）的无定型集体，其中亦包含LAPSUS$等组织。据评估其至少自2021年便开始活跃。Unit 42分析称：“该组织在Discord和Telegram通信平台中发展壮大，吸纳了不同背景和需求的成员。其松散的流动性结构导致破坏行动存在固有难度。” ReliaQuest上周五发布的报告详细披露了Scattered Spider上月末针对某未具名机构的攻击：通过锁定首席财务官（CFO），冒充其致电IT服务台，诱骗工作人员重置与该账户绑定的MFA设备和凭证。攻击者还利用侦察阶段获取的CFO出生日期和社会安全号码后四位，在公司公共登录门户完成身份验证，最终确认员工ID有效性。报告强调：“Scattered Spider偏爱高管账户的两大主因在于：此类账户通常权限过高，且相关IT服务台请求常被紧急处理——这大幅提高了社会工程的成功率。获取这些账户意味着通向核心系统的捷径，使侦察成为其定制化攻击计划的基石。” 掌握CFO账户权限后，攻击者展示了其快速适应和升级攻击的能力： 执行Entra ID枚举，扫描特权账户、特权组和服务主体以提升权限 搜索SharePoint敏感文件及协作资源，深度解析目标机构工作流程与IT/云架构 利用窃取的CFO凭证渗透Horizon虚拟桌面设施（VDI），通过社会工程学控制两个新增账户 入侵机构VPN基础设施以确保对内部资源的持续访问 重新启用已停用虚拟机（VM）并创建新VM，借此关闭虚拟化生产域控制器，提取NTDS.dit数据库文件 利用提升的权限破解CyberArk密码库，获取超1400项机密信息 通过特权账户推进入侵（包括向受控账户分配管理员角色） 使用ngrok等合法工具在控制虚拟机中建立持久访问 在行踪暴露后启动”焦土策略”：蓄意删除Azure防火墙策略规则集合以破坏正常业务运营 这反映出社会工程学攻击已演变为成熟的“身份威胁战役”——攻击者凭借详尽的战术手册突破层层防御。从SIM卡交换、语音钓鱼到权限提升，Scattered Spider展示了攻击路径畅通时的极速行动力。对多数企业而言，首要措施并非采购新工具，而是收紧内部流程（特别是服务台审批和账户恢复机制）。安全研究员Alexa Feminella与James Xiang指出：“Scattered Spider的初始入侵手段暴露了众多机构的关键弱点：过度依赖以人为中心的身份验证流程。该组织通过武器化信任绕过了强大的技术防御，证明攻击者可轻易操纵既定流程达成目标。这一漏洞凸显企业亟需重新评估并强化身份验证协议，降低人为失误成为攻击入口的风险。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌威胁情报组（GTIG）发出警报，臭名昭著的网络犯罪团伙Scattered Spider（又名UNC3944）在连续攻击英美零售企业后，近期将目标转向美国保险行业。GTIG首席分析师约翰·胡尔奎斯特（John Hultquist）在周一的邮件声明中确认：“GTIG已发现多起入侵事件具备Scattered Spider攻击的全部特征。鉴于该组织历来采取逐行业定向攻击的模式，保险业需高度戒备针对服务台和呼叫中心的社会工程学攻击”。 Scattered Spider是以高级社会工程学手段闻名的松散黑客团体。最新情报显示，该组织据信已与勒索软件团伙DragonForce结成联盟，后者近期接管了RansomHub的基础设施资源。网络安全机构SOS Intelligence指出：“该团伙屡次展现冒充员工、欺骗IT支持团队、通过心理战术绕过多因素认证（MFA）的能力。其成员被描述为‘英语母语者’，疑似在西方国家活动，文化背景使其钓鱼电话攻击极具迷惑性。” 本月早前，安全公司ReliaQuest披露Scattered Spider与DragonForce正重点攻击IT服务商（MSP）和外包技术承包商，通过单点突破获取下游客户群访问权限。谷歌旗下Mandiant团队分析称，该组织通常锁定大型企业——尤其是服务台规模大、IT功能外包的机构——这类目标更容易受社会工程学攻击影响，且可能带来更高赎金收益。 为应对该团伙攻击，安全专家建议采取以下措施： 强化认证机制：实施严格身份验证流程 设立访问边界：限制权限升级和横向移动 专项人员培训：指导服务台员工在重置账户前必须核实员工身份       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国生鲜物流企业Peter Green Chilled近期遭遇勒索软件攻击，部分系统遭加密。该公司为乐购（Tesco）、奥乐齐（Aldi）等零售巨头提供冷链运输服务，此次事件距离玛莎百货（Marks & Spencer）重大网络攻击尚不足一月。BBC报道称，攻击者于周三加密企业数据并扰乱运营，公司内部邮件证实正在处理勒索软件事件。 网络安全研究员Aras Nazarovas指出，此类攻击可使物流企业陷入服务瘫痪，导致合作超市特定商品短期缺货。ISACA全球战略官Chris Dimitriadis强调，网络罪犯正将目标转向供应链环节——配送中断、库存损耗与财务损失将引发连锁反应。 近期英国零售业频现安全危机，除玛莎百货外，哈罗德百货（Harrods）、合作社集团（Co-op）相继遭入侵。据路透社数据，玛莎百货因攻击已损失超6000万英镑（约8000万美元）利润，市值蒸发逾10亿英镑。调查显示，攻击者通过第三方服务商塔塔咨询（TCS）两名员工的凭证侵入系统，黑客组织Scattered Spider被怀疑参与作案。该团伙以钓鱼技术著称，2023年曾伪装IT支持人员攻陷拉斯维加斯美高梅度假村与凯撒娱乐集团。 尽管Scattered Spider作案手法老练，执法机构已展开全球缉捕。2023年，涉嫌参与美高梅攻击的22岁英国公民Tyler Robert Buchanan在西班牙落网。同年11月，美国起诉包括Ahmed Hossam Eldin Elbadawy在内的五名该组织成员。安全专家警示，供应链环节的数字化依赖度攀升，物流企业需强化第三方供应商的凭证管理及零信任架构部署。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文