据Google Threat Intelligence Group(GITG)最新披露,网络攻击团伙Scattered Spider近期密集针对美国零售、航空、运输以及保险等行业的虚拟化环境,主要瞄准VMware ESXi超管服务器展开攻击。研究人员指出,Scattered Spider并非利用已知漏洞,而是大量依靠精心设计的社交工程手段渗透企业内部安全防线。攻击流程多以冒充企业员工致电IT帮助台为入口,诱使工作人员更改帐号密码,进而获取初步访问权限,随后通过扫描网络设备寻找IT文档,识别高价值目标账户信息和关键安全组。
得手后,攻击者会继续冒充拥有更高权限的管理员账户,对帮助台发起密码重置请求,从而掌控企业重要虚拟化平台——如VMware vCenter Server Appliance的访问权限。这一权限使攻击者能够启用ESXi主机的SSH连接、重置root密码,并实施所谓“磁盘交换”黑客技术,用以窃取Active Directory中关键数据文件。
Scattered Spider取得对企业虚拟基础架构的广泛控制后,还会清除备份主机资料,删除快照和备份库以削弱企业恢复能力。攻击的最后阶段,他们通过SSH部署勒索软件,全面加密虚拟机文件,对受害企业造成严重破坏。