近期資安研究社群觀察到,兩個國際高知名度的網路犯罪組織 ShinyHunters 與 Scattered Spider 正在聯手鎖定大型企業目標。這種合作模式融合了雙方不同的專長與作案手法,使得攻擊更具隱蔽性與破壞力。
從獨立行動到戰術融合
根據ReliaQuest研究報告的分析,過去數月間,Google、Louis Vuitton、Allianz 等多家跨國企業遭到攻擊,其時間節點、基礎設施、目標產業皆呈現高度重疊。這顯示 ShinyHunters 的 大規模資料竊取能力 與 Scattered Spider 的 高壓社交工程技巧 已經在戰術層面相互融合。
ReliaQuest 威脅研究總監 Brandon Tirado 指出:
「當兩個威脅組織合流,防禦方的挑戰會急遽上升。原本屬於單一組織的攻擊特徵(IoC)可能會出現在另一組織的行動中,導致溯源與歸屬分析更加困難。」
這意味著,單純依賴 IoC 來判斷威脅來源的傳統防禦策略將逐漸失效,必須改為關注 行為模式(TTPs) 並部署主動偵測,例如監控釣魚域名、加固 SaaS 應用安全、以及員工防語音釣魚(Vishing)訓練。
雙方背景與攻擊特色
ShinyHunters(活躍自 2020 年)以財務利益為主要動機,擅長利用外洩或竊取的帳號密碼入侵大型企業環境,再在地下論壇變現。曾攻擊 AT&T、Santander、Ticketmaster、Google、Adidas、Air France 等國際品牌,並在 RaidForums 與 BreachForums 擔任關鍵參與者與管理者。
Scattered Spider(2022 年出現)則由多為 19 至 22 歲、以英語為母語的成員組成,極度擅長釣魚、語音釣魚與其他社交工程手法。著名案例包括 2023 年對 Caesars Palace 與 MGM Resorts 的攻擊,造成賭場數百萬美元損失。
戰術趨同的最新跡象
最新攻擊行動顯示,ShinyHunters 已採用與 Scattered Spider 相似的技巧,包括:
- 高度定向 Vishing:假冒 IT 或客服人員,引導員工洩露登入資訊。
- 惡意應用與釣魚頁面:利用 Okta 風格的登入頁誘騙輸入憑證。
- VPN 混淆:在外洩資料時隱匿來源。
- SaaS 平台滲透:針對 Salesforce 客戶進行憑證竊取與資料勒索。
ReliaQuest 也發現超過 700 個符合 Scattered Spider 模式的釣魚網域於 2025 年註冊,其中針對金融業的網域數量自 7 月起增加 12%,顯示銀行、保險與金融服務業恐成下一波主要受害者。
潛在聯盟與長期合作
研究人員發現名為「Sp1d3rHunters」的 BreachForums 帳號曾與 ShinyHunters 過往攻擊事件相關,並與 Scattered Spider 的網域註冊模式重疊,顯示雙方可能自 2024 年起就已展開協作。
更引人注意的是,8 月初曾短暫出現一個名為「scattered lapsu$ hunters」的 Telegram 頻道,聲稱正在開發名為 ShinySp1d3r 的勒索軟體即服務(RaaS),企圖與 LockBit、DragonForce 競爭。雖然該頻道三天後即消失,但這顯示其攻擊模式可能持續擴張至勒索軟體領域。
資安專家觀點與防禦建議
這種跨組織的戰術融合與協作,將使防禦端面臨三大挑戰:
- 攻擊特徵混淆:IoC 重疊導致歸屬困難。
- 多戰術並用:從社交工程到 SaaS 滲透,增加防禦面。
- 針對產業精準打擊:金融、零售、保險、航空等高價值目標更易中招。
防禦建議:
- 將威脅偵測重點轉向 TTPs 與行為分析,而非僅依賴 IoC。
- 部署品牌網域監控與釣魚頁自動攔截機制。
- 強化員工防社交工程演練,特別是語音釣魚防護。
- 為 SaaS 平台(如 Salesforce、Okta)加上異常登入與大量資料匯出警示。
結論
ShinyHunters 與 Scattered Spider 的聯手,意味著網路犯罪組織間的邊界正在模糊化,未來的攻擊將更具組織化、靈活性與持續性。企業若仍依賴舊有防禦思維,將很難抵擋這種跨組織的複合型威脅。