美國網路安全與基礎建設安全局(CISA)聯合 FBI、英國、加拿大與澳洲資安單位,在2025年7月29日再次針對惡名昭彰的 Scattered Spider(又稱 UNC3944 / Scatter Swine / Octo Tempest)駭客集團發布第三份聯合警示,揭露其不斷演進的社交工程攻擊手法與新型勒索軟體變種,對企業與關鍵基礎設施構成嚴峻威脅。
攻擊模式「再進化」:不再假冒 IT,轉向假冒「你自己人」
Scattered Spider 早期知名的招式,是假冒企業內部 IT 支援人員,用電話或簡訊騙取員工帳密及 MFA 驗證碼,如今他們已將目標轉向企業「外包 IT 服務商」,並冒充企業內部員工,進一步取得存取權限。這樣的手法更難察覺、社交工程更逼真,也更具滲透性。
不只如此,他們甚至潛入 Slack、Teams 與 Exchange 郵件系統,監聽內部對話,還偽造 LinkedIn 等社群帳號參與視訊會議,監控資安團隊的應對措施,邊觀察邊調整攻擊路線,堪稱 APT 級的勒索戰術。
關鍵攻擊技術盤點
CISA 最新揭露的 TTPs(戰術、技術與程序)顯示,Scattered Spider 持續善用以下攻擊手法:
- Push bombing(MFA 疲勞攻擊):狂轟亂炸 MFA 認證請求,直到用戶誤按通過。
- SIM 交換攻擊:冒用用戶身分向電信商申請換卡,奪取手機號碼,用以攔截 OTP 認證碼。
- 假冒員工重設 MFA 裝置:利用電話與社交工程騙取 IT 外包人員協助重設 MFA,將其綁到攻擊者控制的裝置。
- 入侵雲端帳號(如 Snowflake):快速下載大量資料並執行千筆以上查詢,造成資料外洩與營運中斷。
此外,該集團也被觀察到部署 DragonForce 勒索軟體,進行資料竊取與加密雙重勒索。
精準社交工程的背後:OSINT 與非法市集
Scattered Spider 擅長收集目標員工的個資,包含社群平台、公開網站及非法資料市集(如 Russia Market)購得的帳密,組合出精準且難以辨識的釣魚攻擊劇本。
這些攻擊往往針對英文系國家大型企業,尤其是科技、電信、金融、零售、媒體與交通運輸業,目前已擴展攻擊範圍至新加坡與印度。
國際受害名單與損失金額驚人
自 2022 年被發現以來,Scattered Spider 已造成數百萬美元損失。根據 Mandiant 報告,近期知名受害者包括:
- 英國零售巨頭 Marks & Spencer(M&S)
- 合作夥伴 Tata Consultancy Services(TCS)
- Hawaiian Airlines 遭大量資料外洩
- Clorox 提告 IT 供應商 Cognizant,索賠超過 4 億美元
- 曾與 ALPHV/BlackCat 合作,攻擊 MGM 賭場 與 Caesars Palace
英國警方與歐洲刑警近期已逮捕數名年齡介於 17 至 22 歲的 Scattered Spider 成員,但攻擊行動仍在持續進行。
CISA 專家建議防禦措施
面對這類「進階社交工程型勒索攻擊」,CISA 建議企業應:
- 啟用強韌的 MFA(具抗釣魚能力) 並定期檢測有效性。
- 維持離線備份,且定期測試還原能力。
- 建立應用程式管控機制,防止未授權工具執行。
- 訓練員工警覺社交工程攻擊,特別是 IT 支援人員與第三方廠商。
結語:勒索集團進化,我們的資安策略也要升級
Scattered Spider 的案例再次印證一個關鍵趨勢:資安攻擊者不只是科技高手,更是心理操控專家。 他們不僅技術高超,更懂人性與企業運作流程,從而精準攻破。
在駭客攻擊日益複雜的今日,企業若仍停留在傳統的防毒與弱 MFA 階段,將無法有效抵擋類似 Scattered Spider 的高階行動。
此刻,是企業全面升級資安防線的關鍵時刻。
