据观察,臭名昭著的网络犯罪集团 Scattered LAPSUS$ Hunters(SLH)正提供金钱奖励,招募女性实施社会工程学攻击。
Dataminr 在一份新的威胁简报中表示,该集团计划雇佣她们参与针对 IT 服务台的语音钓鱼活动。
据称该集团为每通电话预先支付 500 至 1000 美元不等的报酬,并为她们提供实施攻击所需的提前写好的话术脚本。
该威胁情报公司表示:“SLH 通过专门招募女性实施语音钓鱼攻击,使其社会工程学人员构成多元化,此举可能旨在提高冒充服务台人员的成功率。”
SLH 是由 LAPSUS$、Scattered Spider 和 ShinyHunters 组成的知名网络犯罪超级集团,该组织有实施高级社会工程学攻击的记录,通过多因素认证弹窗轰炸、SIM 卡替换等技术绕过多因素认证(MFA)。
该集团的作案手法还包括瞄准服务台和呼叫中心,冒充员工说服相关人员重置密码或安装可授予其远程访问权限的远程监控与管理(RMM)工具,从而入侵企业。
据观察,Scattered Spider 在获取初始访问权限后,会横向渗透至虚拟化环境、提升权限,并窃取企业敏感数据。
部分此类攻击还会进一步部署勒索软件。
这类攻击的另一特点是使用合法服务和住宅代理网络(如 Luminati、OxyLabs)隐藏身份并规避检测。
Scattered Spider 成员使用过 Ngrok、Teleport、Pinggy 等各类隧道工具,以及 file.io、gofile.io、mega.nz、transfer.sh 等免费文件共享服务。
SLH 在 Telegram 上招募女性的帖子
帕洛阿尔托网络公司 Unit 42 团队在本月早些时候发布的一份报告中,将以 Muddled Libra 为代号追踪的 Scattered Spider 描述为 “高度擅长利用人类心理”,该组织通过冒充员工尝试重置密码和多因素认证(MFA)。
Scattered Spider 攻击链
Scattered Spider 攻击链在该网络安全公司 2025 年 9 月调查的至少一起案件中,Scattered Spider 通过致电 IT 服务台获取特权凭证后,创建并使用了虚拟机(VM),随后利用其进行侦察(如 Active Directory 枚举),并尝试窃取 Outlook 邮箱文件以及从目标 Snowflake 数据库下载的数据。
Unit 42 表示:“该威胁行为者在专注于身份入侵和社会工程学攻击的同时,利用合法工具和现有基础设施隐藏行踪。”“他们隐秘运作并维持持久化控制。”
该网络安全公司还指出,Scattered Spider 长期针对 Microsoft Azure 环境,利用 Graph API 获取 Azure 云资源访问权限。
该组织还使用 ADRecon 等云枚举工具进行 Active Directory 侦察。
由于社会工程学已成为该网络犯罪集团的主要入侵入口,建议企业保持警惕,对 IT 服务台及支持人员开展培训,警惕提前编写的话术和熟练的语音冒充行为;执行严格的身份验证;收紧 MFA 策略,不再使用基于短信的认证方式;并审计服务台交互后的新用户创建或管理员权限提升日志。
Dataminr 表示:“此次招募行动标志着 SLH 的战术经过精心策划后发生了演变。”
“通过专门寻找女性声音,该集团可能旨在绕过 IT 服务台人员受训识别的‘传统’攻击者特征,从而提升其冒充行为的成功率。”
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
