Scattered Spider 劫持 VMware ESXi 在关键美国基础设施上部署勒索软件

臭名昭著的网络犯罪团伙散播蜘蛛正在针对北美零售、航空和交通行业的 VMware ESXi 虚拟机管理程序发动攻击。

谷歌的 Mandiant 团队在其详尽的分析中表示：”该团伙的核心战术保持一致，不依赖软件漏洞。相反，他们使用一套经过验证的剧本，核心是致电 IT 技术支持部门。”

“这些攻击者非常积极、富有创造力，尤其擅长利用社会工程学手段绕过成熟的安全程序。他们的攻击并非机会主义行为，而是精确、有组织的行动，旨在针对组织的最关键系统和数据。”

也被称为 0ktapus、Muddled Libra、Octo Tempest 和 UNC3944，这些威胁行为者有历史进行高级社会工程攻击，以获取受害者环境的初始访问权限，然后通过操纵受信任的管理系统并利用他们对 Active Directory 的控制权，采用”利用现有环境”（LotL）方法，转向 VMware vSphere 环境。

谷歌表示，该方法为数据窃取和勒索软件部署提供了直接从虚拟机管理程序实施的途径，它被评价为”非常有效”，因为它绕过了安全工具，且留下的入侵痕迹很少。

该组织的社交工程手段频繁使用，揭示了反复出现的模式，特别是在他们注册与合法公司基础设施或登录门户高度相似的域名方面，NCC Group 指出。

他们的一些典型命名规范包括：

victimname-sso[.]com
victimname-okta[.]com
victimname-servicedesk[.]com
sso-受害者域名[.]com
servicenow-受害者域名[.]com

攻击链分为五个不同的阶段 –

最初的入侵、侦察和权限提升，使攻击者能够收集与 IT 文档、支持指南、组织架构和 vSphere 管理员相关的信息，并枚举来自 HashiCorp Vault 等密码管理器或其他特权访问管理（PAM）解决方案的凭证。攻击者被发现会向公司的 IT 支持部门发起额外调用，冒充高级管理员请求重置密码以控制账户。
利用映射的 Active Directory 到 vSphere 凭证将攻击转向虚拟环境，访问 VMware vCenter Server Appliance (vCSA)，随后执行传送操作以创建一个持久且加密的反向 shell，从而绕过防火墙规则。
在 ESXi 主机上启用 SSH 连接并重置 root 密码，并执行所谓的”磁盘交换”攻击以提取 NTDS.dit Active Directory 数据库。该攻击通过关闭域控制器（DC）虚拟机（VM）并断开其虚拟磁盘，然后将其连接到他们控制的另一个未监控的 VM 来工作。在复制 NTDS.dit 文件后，整个过程被逆转，DC 被重新启动。
利用访问权限删除备份作业、快照和存储库以阻止恢复。
使用对 ESXi 主机的 SSH 访问通过 SCP/SFTP 推送他们的自定义勒索软件二进制文件。

“UNC3944 的作战计划需要防御策略的根本性转变，从基于 EDR 的威胁搜寻转向主动的、以基础设施为中心的防御，”谷歌表示。”这种威胁在两个方面与传统 Windows 勒索软件不同：速度和隐蔽性。”

科技巨头还指出了攻击者的”极快速度”，称从初始访问到数据窃取和最终勒索软件部署的整个感染过程可能只需短短几小时即可完成。