发布日期:2026-07-19 06:18 点击次数:150
名为散播蜘蛛 ( Scattered Spider ) 的收集作歹组织通过报复好意思国零卖、航空、运载和保障行业的 VMware ESXi 料理设施开yun体育网,积极对准编造化环境。
阐述谷歌羁系谍报组织(GITG)的说法,报复者一直在使用他们频繁的战略,不包括粗疏欺骗,而是依靠完好实验的社会工程"绕过老到的安全设施"。
Scattered Spider 报复
参议东说念主员暗示,该团伙通过在呼唤 IT 匡助台时冒充职工随后起头报复。羁系者的主义是劝服代理蜕变职工的 Active Directory 密码,从而获取开动打听权限。
这么,Scattered Spider 就不错扫描收集建筑,寻找好像提供高价值接洽的 IT 文档,比如域或 VMware vSphere 料理员的称号,以及不错提供编造环境料理权限的安全组。
与此同期,他们扫描特权打听料理(PAM)处置有想象,这些处置有想象可能包含敏锐数据,这些数据对出动到有价值的收集钞票很有用。
然后,黑客们通过我方的现象获取了对该公司 VMware vCenter Server Appliance (vCSA)的打听权——这是一种允许料理 VMware vSphere 环境的编造机,其中包括用于料理物理办事器上所有编造机的 ESXi 料理设施。
此级别的打听权限使他们好像在 ESXi 主机上启用 SSH 聚会并重置根密码。此外,他们实验所谓的"磁盘交换"报复,以索要 Active Directory 的 NTDS.dit 关节数据库。
磁盘替换报复发生在羁系者关闭域为止器编造机 ( VM ) 并仅分别其编造磁盘,然后将其附加到他们为止的另一个未受监控的 VM 上时。在复制敏锐数据(举例 NTDS.dit 文献)后,他们还原该进程并开启域为止器机器。
需要留神的是,Scattered Spider 在编造基础设施上获取的为止级别允许它们料理所有可用的钞票,包括备份机器,这些机器被断根了备份功课、快照和存储库。
在报复的终末阶段,Scattered Spider 欺骗他们的 SSH 打听来录用和部署诈骗软件二进制文献,以加密数据存储中检测到的所有 VM 文献。
阐述他们的不雅察,GTIG 参议东说念主员暗示,散播蜘蛛报复有五个不同的阶段,这些阶段允许黑客从初级打听出动到弥散为止编造机料理设施。

Scattered Spider 报复
一个散播的蜘蛛报复链,从领先的打听到数据涌现和诈骗软件部署,可能在几个小时内发生。据谷歌关系东说念主员暗示,即使莫得欺骗任何软件粗疏,羁系者也设法对所有这个词编造环境进行前所未有的为止,使他们好像绕过很多传统的宾客安全为止。
诚然针对 ESXi 编造机料理设施并不是什么清新事,但 GTIG 指出,他们正看到越来越多的诈骗软件组织摄取这种战略,并瞻望这个问题会越来越严重。
这背后的一个原因可能是,敌手如故留神到,VMware 的基础设施频繁不被组织所了解,因此,莫得得到强有劲的防护。
为了匡助组织回击这些报复,谷歌发布了一篇技艺著作,款式了 Scattered Spider 报复的各个阶段,线路注解了为什么它是有用的,并提供了公司不错聘任的要领,以便在早期阶段检测到粗疏。
提议的要领可归纳为三个主要方面:
·使用 execinstalldonly、编造机加密和禁用 SSH 锁定 vSphere。幸免 ESXi 上的 AD 径直聚会,删除伶仃编造机,实验严格的 MFA 和打听战略。握续监控确立漂移。
·跨 VPN、AD 和 vCenter 使用防收集垂钓的 MFA。封闭 Tier 0 钞票(数据中心、备份、PAM),幸免将它们托管在它们所保护的调换基础设施上。研究单独的云 idp 来冲破 AD 依赖。
·将日记齐集在 SIEM 中,并对关节行径(如料理员组蜕变、vCenter 登录和启用 SSH)进行警报。使用弗成变的气隙备份和针对料理设施层报复的测试收复。
Scattered Spider(也被称为 UNC3944, Octo Tempest,0ktapus)是一个以经济为动机的羁系组织,颠倒从事社会工程,它最近加强了对英国大型零卖公司、航空公司和运载实体以及保障公司的报复行径。尽管英国国度作歹局逮捕了该组织的 4 名疑似成员开yun体育网,但源自其他集群的坏心行径并莫得消退,安全参议东说念主员提议东说念主们应该不绝保握严慎。
Powered by 开云平台网站皇马赞助商| 开云平台官方ac米兰赞助商 最新官网入口 @2013-2022 RSS地图 HTML地图
Copyright Powered by365建站 © 2013-2024