HackerNews 编译，转载请注明出处： 谷歌威胁情报团队首席分析师John Hultquist向BleepingComputer透露，使用“Scattered Spider”攻击手法的黑客组织在针对英国零售业后，已将矛头转向美国零售企业。该组织被追踪为UNC3944，涉嫌实施勒索软件攻击与数据勒索双重威胁。 英国零售巨头玛莎百货（Marks & Spencer）此前遭遇勒索攻击，攻击者使用DragonForce加密器对VMware ESXi主机上的虚拟机进行加密。微软将该攻击归因于Octo Tempest（即Scattered Spider）。连锁超市Co-op确认攻击者窃取了大量现会员及前会员数据，哈罗德百货（Harrods）则于5月1日因网络渗透尝试被迫限制网站访问权限，疑似主动阻断攻击。 DragonForce勒索组织宣称对上述三起事件负责。BleepingComputer获悉，攻击者使用了与Scattered Spider关联的社会工程学策略。该勒索组织于2023年12月首次出现，近期推出“白标服务”供其他犯罪团伙定制化使用。 自Scattered Spider于4月开始攻击英国零售商以来，英国国家网络安全中心（NCSC）已发布防御指南，并警告这些攻击应被视为“警钟”。NCSC表示尚未确认攻击是否由单一组织发起，目前正与受害者及执法部门联合调查。 Scattered Spider（别名0ktapus、UNC3944、Scatter Swine）指代一个流动性威胁团伙，以社会工程学攻击闻名，擅长钓鱼攻击、SIM卡劫持、MFA轰炸（定向疲劳攻击）等手法。2023年9月，该组织入侵美高梅度假村，通过冒充员工致电IT部门获取权限，利用BlackCat勒索软件加密超100台VMware ESXi虚拟机。 该组织还曾作为RansomHub、Qilin及DragonForce等勒索软件的附属团伙活动，受害者包括Twilio、Coinbase、DoorDash、凯撒娱乐、MailChimp、拳头游戏及Reddit。部分成员据信隶属于“Com”社群——该松散团体因实施网络攻击与暴力行为备受关注。 这些网络罪犯年龄最小仅16岁，多为英语使用者，活跃于Telegram频道、Discord服务器及黑客论坛，实时策划攻击行动。尽管媒体与安全研究者常将“Scattered Spider”描述为统一团伙，但其实际是由采用特定战术的松散成员构成，追踪难度较高。 Hultquist指出：“这些攻击者攻击性强、手法创新，尤其擅长突破成熟安全体系。他们在社会工程学及第三方入侵方面屡获成功。”美国零售企业需警惕近期威胁升级。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国零售巨头玛莎百货（Marks & Spencer）持续的系统中断已被确认由勒索软件攻击引发。BleepingComputer从多个消息来源获悉，此次攻击被认为是由名为Scattered Spider的黑客组织实施的。 玛莎百货（M&S）是一家英国跨国零售商，拥有64,000名员工，在全球超过1,400家门店销售服装、食品和家居用品等各类商品。 上周二，M&S确认其遭受网络攻击，导致包括非接触式支付系统和在线订购在内的广泛服务中断。今日，Sky News报道称中断仍在持续，约200名仓库员工被要求居家待命，公司正在应对此次攻击。 BleepingComputer现已获悉，持续中断是由加密公司服务器的勒索软件攻击导致。据悉，威胁行为者最早在2月首次入侵M&S，当时他们窃取了Windows域的NTDS.dit文件。 NTDS.dit文件是Windows域控制器上运行的Active Directory服务的主数据库，包含Windows账户的密码哈希。攻击者可提取这些哈希并离线破解以获取明文密码。 利用这些凭证，威胁行为者可在Windows域内横向移动，同时从网络设备和服务器窃取数据。 消息人士告诉BleepingComputer，攻击者最终于4月24日在VMware ESXi主机上部署DragonForce加密器以加密虚拟机。 BleepingComputer了解到，玛莎百货已请求CrowdStrike、微软和Fenix24协助调查与应对此次攻击。 目前的调查表明，此次攻击的幕后黑手是被称为Scattered Spider的组织（微软称其为Octo Tempest）。当被问及此事时，M&S表示无法透露网络事件的具体细节。 Scattered Spider是谁？ Scattered Spider（又名0ktapus、Starfraud、UNC3944、Scatter Swine、Octo Tempest、Muddled Libra）是一群擅长使用社会工程攻击、钓鱼、多因素认证（MFA）轰炸（定向MFA疲劳攻击）和SIM卡劫持技术入侵大型组织的威胁行为者。 该组织成员包括以英语为母语的年轻人（最小16岁），他们活跃于相同的黑客论坛、Telegram频道和Discord服务器，并实时策划攻击。部分成员被认为是“Comm”的一员——“Comm”是一个松散社区，涉及引发广泛媒体关注的暴力行为和网络事件。 尽管媒体和研究人员常将Scattered Spider视为一个紧密团伙，但他们实际上是由不同个体组成的网络，每次攻击的参与者不同。这种流动性使其难以追踪。该组织最初从事金融诈骗和社交媒体入侵，后发展为针对个人的加密货币盗窃或企业勒索的复杂社会工程攻击。 2023年9月，该组织通过假冒员工致电米高梅度假村（MGM Resorts）IT服务台的社会工程攻击入侵系统，并部署BlackCat勒索软件加密超过100台VMware ESXi虚拟机。这是勒索软件领域的关键时刻，标志着英语系威胁行为者首次与俄语系勒索团伙合作。 此后，Scattered Spider已知作为RansomHub、Qilin以及现在的DragonForce的附属组织活动。DragonForce是2023年12月启动的勒索软件组织，近期开始推广一项允许网络犯罪团队白标其服务的新业务。 研究人员通常通过特定入侵指标将攻击归因于Scattered Spider，包括针对单点登录（SSO）平台的凭证窃取钓鱼攻击、假冒IT服务台的社会工程攻击等战术。网络安全公司Silent Push本月早些时候发布的报告概述了Scattered Spider最近的钓鱼攻击。 过去两年，执法机构正加大对该组织的打击力度，在美国、英国和西班牙逮捕了多名据称是成员的人员。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文