Scattered Spider：新攻击模式聚焦软件即服务应用

关键要点

Hacking collective Scattered Spider 改变了攻击策略，专注于软件即服务SaaS应用以进行数据泄露，而不是进行勒索软件加密。使用社会工程的伎俩，攻击者伪装成需要多因素认证重置的合法用户，以获得初始访问权限。利用 Okta 单点登录权限，攻击者可以攻击云和 SaaS 应用，进行内部侦察，甚至创建虚拟机来维持持久性。组织被建议加强对 SaaS 应用和虚拟机基础设施的监控，并实施更严格的访问政策以降低攻击风险。

Scattered Spider，又名 0ktapus、UNC3944、Octo Tempest 和 Scatter Swine，最近调整了其攻击策略，将目标转移到软件即服务SaaS应用程序，以便在不进行勒索软件加密的情况下进行数据外泄。这一变化导致其攻击目标不断扩大，相关信息由 BleepingComputer 报导。

新的分散式蜘蛛攻击瞄准SaaS应用程序媒体

根据 Google 旗下网络安全公司 Mandiant 的报告，针对企业帮助台代理的入侵实质上利用了社会工程策略。攻击者伪装成需要重置多因素认证的合法用户，从而获得目标环境的初始访问权限。

接下来，攻击者利用 Okta 的单点登录权限，进一步攻击云端和 SaaS 应用，并进行内部侦察。研究人员表示，Scattered Spider 通过建立新的 Azure 和 vSphere 虚拟机来确保其持久性，随后又停用了 Microsoft Defender。同时，Scattered Spider 还通过从活动目录联合服务中获取证书和实施黄金 SAML 攻击来进一步实现持久性。

一元机场.cn攻击手法描述社会工程伎俩伪装成需要认证重置的用户以获取访问权限利用 Okta 单点登录权限实施云和 SaaS 应用攻击建立虚拟机来保持持久性创建 Azure 和 vSphere 虚拟机并停用安全防护工具黄金 SAML 攻击通过获取证书实现更高层次的控制

各组织被敦促加强 SaaS 应用和虚拟机基础设施的监控，同时实施更严格的访问政策，以降低此类攻击的风险。