2025 年 6 月下旬,FBI 正式發出警告:以社交工程著稱的 Scattered Spider(又名 UNC3944、Octo Tempest 等)正在擴大攻擊範圍,將北美航空業納入打擊目標。繼加拿大的 WestJet 與美國的 Hawaiian Airlines 陸續傳出遭駭之後,航空資安成為全球焦點。
社交工程 + 偽冒 IT 支援:航空業的新弱點
FBI 指出,Scattered Spider 鎖定航空公司內部的 IT 協助流程,假冒員工或外包廠商身分,致電幫助台要求重設密碼、加入未授權的 MFA 裝置,藉此繞過多因素驗證(MFA)進入系統。他們也常透過供應商、承包商等第三方 IT 服務商滲透目標企業,導致供應鏈成為漏洞來源。
Palo Alto Networks 旗下 Unit 42 與 Google Cloud 擁有的 Mandiant 皆已觀察到該團體攻擊航空與交通運輸業的多起案例。Mandiant 首席技術長 Charles Carmakal 強調,航空業應立即強化幫助台身分驗證流程,例如在執行 MFA 裝置新增、密碼重設前,加強對員工或合約工身分的核驗。
這不是單純的密碼爆破攻擊,而是「信任的利用」。Scattered Spider 深諳企業內部流程,理解人性弱點,在幫助台遭遇時間壓力或緊急需求時,極容易被虛構的故事所說服,進而開啟大門。
從零信任到認證流程:攻擊手法逐步升級
Scattered Spider 的戰術從早期的 SIM 卡置換,到今日整合社交工程、幫助台詐騙、帳號升權與雲端滲透,形成橫跨內外網的混合式攻擊鏈。他們常針對 C-Level 高層展開深度偵查,再進行極具針對性的攻擊。例如,冒充財務長 (CFO) 向 IT 部門請求重設 MFA,甚至準確說出其生日與社會安全號碼末四碼等個資,進一步驗證身分並取得完整帳號控制權。
根據 ReliaQuest 的研究,Scattered Spider 一旦滲透成功,即可在數小時內:
- 列舉 Entra ID 權限帳號與群組,進行橫向移動與持久化植入
- 偵查 SharePoint 文件與組織工作流程,精準定位機敏資料
- 利用 CFO 憑證滲透 Horizon VDI 虛擬桌面環境,入侵更多帳號
- 重啟停用的 VM,存取 VMware vCenter,關閉生產環境控制器並擷取 NTDS.dit 資料庫
- 破解 CyberArk 密碼保險庫,盜取超過 1,400 組機敏帳密
- 利用合法工具如 ngrok 建立後門與持久連線
- 在遭到偵測後,刪除 Azure 防火牆規則組,癱瘓防禦。
最終甚至與資安團隊展開「搶奪 Entra ID 全域管理員權限」的拉鋸戰,直到 Microsoft 介入才終結攻擊行動。
航空業攻擊事件頻傳:Scattered Spider 正在壓力測試整個產業
6 月以來,Hawaiian Airlines、WestJet 皆傳出遭遇網路攻擊。Hawaiian Airlines 向 SEC 通報指出,其部分 IT 系統遭入侵,雖航班營運未受影響,但已緊急調查中。加拿大第二大航空 WestJet 亦公告指出,部分網站與 App 出現異常,用戶無法登入,內部團隊與執法單位合作調查中。
American Airlines 也於近期出現技術異常,雖未證實與攻擊有關,但外界開始懷疑是否為同一波網攻的一環。Mandiant 警告,Scattered Spider 長期針對特定產業深耕,不排除這是對航空業的一次「壓力測試」或預演。
7 月初,澳洲航空 Qantas 也披露發生資安事件,有高達 600 萬筆顧客資料紀錄遭入侵。該事件源自攻擊者滲透第三方呼叫中心服務平台,並非入侵 Qantas 本身系統,但外洩資料可能包含姓名、電話、生日、常客編號等個資,雖未涉及帳密或信用卡資訊,但仍引發廣泛關注。外界研判此事件手法與 Scattered Spider 過往攻擊高度雷同,雖無明確歸因,仍被列為可能關聯事件之一。
更早之前,該團體就曾與 ALPHV/BlackCat 合作攻擊 MGM 與 Caesars Palace,也曾透過 DragonForce 打擊英國零售業(M&S、Co-Op、Harrods 等)。攻擊手法成熟,流程精密。
航空業的結構性風險:個資、營運與供應鏈三重危機
航空公司本身即為高價值標的:
- 處理大量個資、金流資料、航班資訊
- 仰賴多方第三方系統與 IT 外包服務
- 對於系統中斷與航班延誤容錯率極低
從 SpiceJet 到 Sunwing、Japan Airlines、Air Canada、Kenya Airways…航空產業的資安風暴其實早已成型。
Scattered Spider 並未直接承認對 WestJet、Hawaiian 、Airlines American Airlines或 Qantas 的攻擊,但根據 Mandiant、Palo Alto Networks 等單位觀察,其攻擊模式、時間點與社交工程手法皆吻合。
防禦建議:從技術到流程再到文化
Scattered Spider 最可怕之處,不只是技術力,而是結合人性、流程、心理學與社交操控,打造出無法僅靠防毒或防火牆阻擋的攻擊方式。以下是專家建議的防禦措施:
- 強化幫助台流程:
- 嚴格執行二次身分驗證,禁止僅憑口頭資訊或簡單個資進行帳號重設。
- 記錄並審查所有重設與 MFA 新增操作。
- 導入抗網釣 MFA:如 FIDO2、安全金鑰等,降低可社交操控的驗證方式。
- 角色權限最小化:C-Level 帳號須分離日常作業與敏感系統操作權限。
- 教育訓練演練:透過實境模擬,讓幫助台與 IT 員工學會辨識社交工程攻擊。
- 建構多層式監控與追蹤:異常帳號操作、MFA 新增、憑證重設等應具備告警與即時審查機制。
- 部署誘餌技術(Deception Technology):設計假帳號、誘餌伺服器與虛擬資源,引誘攻擊者進入偽裝環境,提前偵測攻擊路徑並延緩入侵進程。
Scattered Spider 並不是突破技術防線,而是突破人類決策流程。這是一場信任的戰爭。而唯有重新設計我們如何「信任彼此」、驗證彼此,並加入誘餌機制作為早期警示,我們才能真正築起資安防線,捍衛航空這項現代社會最重要的關鍵基礎建設之一。