「Scattered Spider」駭客組織劫持VMware ESXi系統，對美國關鍵基礎設施發動勒索軟體攻擊

惡名昭彰的駭客集團「Scattered Spider」（分散蜘蛛）正針對北美零售、航空和運輸產業的 VMware ESXi 虛擬化平台發動攻擊。

該組織也被稱為 0ktapus、Muddled Libra、Octo Tempest 和 UNC3944。這些威脅行動者慣於透過高階社交工程攻擊取得目標環境的初始存取權，隨後採用「借助環境生存」(Living-off-the-Land, LotL)策略，操縱受信任的管理系統，並利用對 Active Directory 的控制權限轉向入侵 VMware vSphere 環境。

根據 Google 的 Mandiant 團隊詳細分析報告，該組織的核心攻擊手法始終如一，且不依賴軟體漏洞利用。駭客採用一套經過驗證的攻擊劇本，主要透過對 IT 服務台進行電話社交工程來滲透目標系統，且特別擅長利用社交工程手法繞過成熟的資安防護機制。此外，該組織的攻擊並非隨機，而是針對組織最關鍵系統和資料進行的精準、計劃性行動。

Google 指出，此方法讓攻擊者能直接透過虛擬機器管理程式(Hypervisor)執行資料外洩和部署勒索軟體。這種攻擊手法非常有效，主因它能繞過安全工具，且幾乎不留下任何入侵痕跡。

英國資安業者 NCC Group 表示，該組織廣泛使用的社交工程手法已形成明確模式，特別是註冊與目標公司基礎設施或登入入口網站極為相似的網域名稱。

常見的釣魚網域命名模式如下：

• 目標公司名稱-sso[.]com
• 目標公司名稱-okta[.]com
• 目標公司名稱-servicedesk[.]com
• sso-目標公司名稱[.]com
• servicenow-目標公司名稱[.]com

攻擊鏈五階段

• 初始入侵：
  駭客執行偵察與權限提升，收集IT文件、支援指南、組織架構圖和 vSphere 管理員資訊，並從 HashiCorp Vault 或其他特權存取管理 (PAM) 解決方案中列舉憑證。他們還會電話冒充關鍵管理員，要求IT服務台重設密碼以取得帳號控制權。
   
• 轉向虛擬環境：
  利用從 Active Directory 映射至 vSphere 的憑證取得 VMware vCenter Server Appliance(vCSA) 存取權，再執行 teleport 工具建立持久且加密的反向殼層連線(reverse shell)，有效繞過防火牆限制。
   
• 資料竊取：
  在 ESXi 主機上啟用 SSH 連線並重設 root 密碼，執行「磁碟交換」(disk-swap)攻擊提取 NTDS.dit Active Directory 資料庫。攻擊者關閉網域控制站(DC)虛擬機器，分離其虛擬磁碟並連接到攻擊者控制的 VM。複製 NTDS.dit 檔案後，還原整個過程並重新啟動 DC。
   
• 破壞復原機制：
  利用取得的存取權刪除備份工作、快照和儲存庫，阻礙受害者的復原能力。
   
• 部署勒索軟體：
  透過 SSH 存取 ESXi 主機，使用 SCP/SFTP 協定推送自定義勒索軟體執行檔。

Google 指出，UNC3944 的攻擊手法需要防禦策略的根本轉變，從依賴端點偵測與回應(EDR)的威脅獵捕，轉向以基礎架構為中心的主動防禦。這種威脅與傳統 Windows 勒索軟體有兩大顯著差異：速度與隱蔽性。Google 進一步強調，這些駭客以「極速行動」為特色，整個感染流程—從初始入侵、資料外洩到最終部署勒索軟體，可能僅在數小時內完成。

根據 Palo Alto Networks Unit 42 的報告，分散蜘蛛的成員不僅精通社交工程，還與 DragonForce（又稱Slippery Scorpius）勒索軟體計畫合作，在一個案例中僅用兩天就竊取超過 100 GB 的資料。

有效對抗此類威脅的三層防護策略

• 啟用 vSphere 鎖定模式、強制執行 execInstalledOnly 設定、採用虛擬機器加密技術、汰除舊有虛擬機器，並強化服務台安全措施
   
• 實作防釣魚多因素驗證 (MFA) 機制、隔離關鍵身分基礎架構，並防止驗證循環問題
   
• 集中管理並監控重要日誌、將備份系統與生產環境的 Active Directory 完全隔離，確保即使管理員帳號遭到入侵也無法存取備份資料

專家也呼籲組織在從 VMware vSphere 7 轉移時，應將資安設計納入系統架構考量，因為該版本將於 2025 年 10 月終止支援 (EoL)。

Google 強調，針對 vSphere 基礎架構（包含 ESXi 主機和 vCenter Server）的勒索軟體攻擊構成極為嚴重的風險，主要因為這類攻擊能立即且廣泛癱瘓整體基礎設施。若組織未能積極採取上述防護措施來減輕這些相互關聯的風險，將面臨精準攻擊的威脅，這類攻擊可迅速癱瘓整個虛擬化環境，導致營運中斷和財務損失。

延伸閱讀：中國駭客組織「Fire Ant」鎖定VMware虛擬化環境進行長期間諜活動

本文轉載自 TheHackerNews。