Windows设备ID帮助当局追踪分散的蜘蛛黑客组织成员

admin 2026-07-15 05:14:49 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 当局利用Windows全局设备ID(GDID)结合VPN遥测和云服务记录,将一起针对F公司的勒索攻击与ScatteredSpider组织19岁成员PeterStokes关联。攻击者通过社交工程重置员工凭证,窃取77GB数据并索要800万美元赎金。GDID的稳定性成为突破关键,尽管攻击者使用VPN和代理,但该标识符将临时IP与运营商设备联系起来,最终提供证据证明Stokes是负责创建隧道和管理数据窃取的设备用户。 综合评分: 84 文章分类: 威胁情报,应急响应,社会工程学,红队


cover_image

Windows 设备 ID 帮助当局追踪分散的蜘蛛黑客组织成员

原创

ZM ZM

暗镜

2026年7月13日 08:00 北京

在小说阅读器读本章

去阅读

当局利用持久的 Windows 全局设备 ID,以及 VPN 遥测和云服务记录,将一起重大勒索攻击中使用的基础设施与 Scattered Spider 组织的一名 19 岁成员Peter Stokes联系起来。

在向伊利诺伊州北区提交的一份补充刑事诉状中,联邦调查局概述了斯托克斯(又名“花束”、“斯宾塞”和“乔丹”)如何作为“散落蜘蛛/八爪风暴”组织的一员,参与了 100 多起入侵事件,勒索了超过 1 亿美元的赎金,并造成了数百万美元的损失。调查人员报告称,斯托克斯开设并控制了关键基础设施账户,这些账户被用于2025年5月针对“F公司”(一家跨国奢侈珠宝零售商)的入侵。在这次攻击中,犯罪分子窃取了至少77GB的敏感数据,并索要了800万美元的加密货币。

根据宣誓书,攻击者首先利用 Google Voice 号码对 F 公司的 IT 服务台进行社交工程攻击,重置了三名员工(包括两名管理员)的密码和多因素身份验证设备。

这种访问权限使他们能够转向高权限帐户,控制新泽西州数据中心的虚拟服务器,并部署 ngrok 和 Teleport.sh 等工具来建立绕过边界防御的加密隧道,从而将大量数据泄露到 Amazon S3 存储。

Ngrok 日志显示,在攻击初期,攻击者向网络中植入了约 99.5 MB 的工具,并窃取了超过 1.27 GB 的数据。FBI 将此活动评估为侦察、凭证窃取、权限提升和横向移动。

调查的转折点出现在微软将 F 公司入侵中使用的 ngrok 帐户与特定的 Windows 全局设备 ID (GDID) 关联起来的时候,GDID 是在安装级别分配给 Windows 设备的唯一标识符。

微软遥测数据显示,在创建针对 F 公司攻击的 ngrok 帐户的同一时间,同一个 GDID 通过 Tzulo 托管的 VPN IP 地址(以 .168 结尾)访问了 ngrok 的注册页面。

几个小时后,该GDID也通过该代理访问了F公司的公共网站。进一步分析显示,该GDID在多个日期与已与斯托克斯关联的苹果、Snapchat、Facebook和游戏服务账户共享IP地址,其中包括来自爱沙尼亚、纽约和泰国的登录记录,这些记录与他的旅行记录和社交媒体帖子相吻合。

微软提供的线索,加上 Snapchat、育碧、谷歌和一家 VPN 提供商的记录,使得调查人员能够构建出一幅连贯的画面,显示在一个看似一次性基础设施背后安装了 Windows 系统。

尽管 Scattered Spider 使用 VPN 代理服务、虚拟机、云存储和社会工程技术来掩盖其活动,但稳定的 GDID 将这些临时 IP 地址和帐户与单个运营商联系起来。这一联系,以及在与“散落蜘蛛”行动相关的专用服务器上发现的来自 F 公司的泄露数据,最终提供了足够的证据,证明斯托克斯是负责创建隧道、管理数据窃取和赎金谈判的设备的用户。

#


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:暗镜 ZM ZM《Windows 设备 ID 帮助当局追踪分散的蜘蛛黑客组织成员》

评论:0   参与:  0