Scattered Spider 勒索软件组织正在渗透 Slack 和 Microsoft Teams，以攻击易受攻击的员工

快速阅读: 据《ITPro门户》称，散蛛黑客组织近期活跃，使用DragonForce勒索软件及社会工程手段攻击企业，包括Snowflake、Teams等平台。FBI提醒企业加强安全防护，防范数据泄露。

据FBI及其他网络安全机构联合发布的国际通告，近期，散蛛黑客组织再次活跃，其工具包中新增了勒索软件和改进的社会工程学技术。该组织现在使用名为DragonForce的勒索软件和其他新变种，并利用AnyDesk等远程访问工具来绕过安全警报。

通告还指出，散蛛开始采用新的社会工程学技术。除了之前伪装成IT帮助台工作人员来针对员工外，现在该组织还冒充员工，要求IT团队重置密码或转移多因素认证（MFA）令牌。FBI强调，这种技术常用于单点登录（SSO）环境中的账户接管。此外，散蛛还进行“推送轰炸”——不断向用户发送验证请求，直到最终被接受——以及SIM卡更换攻击，以拦截包含一次性密码的短信。

散蛛还被发现针对企业Snowflake账户，以获取初始网络访问权限和数据窃取。Swimlane的首席安全自动化架构师Nick Tausek表示，这些新技术应引起高度重视，他敦促企业保持警惕。他解释说：“访问一个组织的Snowflake可以让该组织同时运行数千个查询，通常会部署DragonForce恶意软件来加密目标组织的服务器。” “被盗数据的潜在数量解释了为什么他们在多个行业都取得了成功，从保险到交通再到零售。”

散蛛正在渗透Teams和Slack等协作平台，以收集信息，然后用于针对员工的钓鱼攻击。通告还提到，Microsoft Exchange电子邮件账户也是该组织的主要目标。对员工的侦察包括对公司网站的深入研究，以收集信息并确定其在目标组织中的角色。这些社会工程尝试通过来自社交媒体、开源信息、商业情报工具和数据库泄露的个人信息得到增强。

黑客甚至建立了虚假身份，参与公司电话会议和补救及响应通话，以收集安全信息。Tausek表示：“在不被发现的情况下进入事件补救和响应通话，以识别安全团队如何应对他们的攻击，是一种聪明的策略，以保持领先。”

据信，散蛛最近几个月负责了一波大规模的攻击，受害者包括英国零售商和保险公司。最近，威胁情报报告显示，该组织已将重点转向航空业。大多数目标都在英国和美国，包括马莎百货（M&S）、合作社（Co-op）和哈罗德百货（Harrods）都遭到了勒索软件团伙的攻击。

机构建议组织密切关注未经授权的账户活动和“高风险登录”，其中登录尝试已被标记为可疑。他们还应保持敏感数据的离线备份，并将其与源系统分开存储。同样，他们应专注于实施抗钓鱼的多因素认证（MFA），并实施应用程序控制以管理软件执行。

(以上内容均由Ai生成)