文章总结: 去中心化黑客集群ScatteredSpider不依赖漏洞,通过仿SSO钓鱼、电话社工和SIM劫持击穿防线,常以通信外包企业为跳板实施勒索与盗币。企业防御应部署FIDO2硬件密钥替代短信MFA,建立来电回拨核实制,严控远控软件并开展反钓鱼演练。 综合评分: 84 文章分类: 社会工程学,威胁情报,安全意识,软文广告,数据泄露
重磅预警!去中心化黑客集群Scattered Spider来袭:不靠0day,一通电话就能拿下企业全网
原创
AI紫队安全研究 AI紫队安全研究
AI紫队安全研究
2026年7月14日 11:59 广东
在小说阅读器读本章
去阅读
大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。
关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。
提起知名勒索攻击MGM赌场、Riot游戏源码泄露、大批运营商SIM劫持事件,背后都指向同一个威胁——Scattered Spider(分散蜘蛛)。
很多人误以为它是层级分明的单一黑客团伙,但Group-IB最新深度报告推翻固有认知:这根本不是传统组织,而是一套松散、去中心化黑客联盟,无数独立小团伙共享工具、话术、攻击模板,单独行动、互不隶属,即便部分成员被捕,攻击攻势完全不受影响。
他们不靠高危漏洞,只精通人性陷阱:仿SSO钓鱼、电话社工、SIM劫持、远程工具投毒一条龙,政企、运营商、Web3企业全是猎物,今天完整拆解这套“人人可复制”的社工攻击流水线。
一、重新认知Scattered Spider:它是黑客运动,不是单一团伙
- 多重代号,业内各厂商命名不同
Group-IB内部命名:Oktapus(核心分支)
Mandiant:UNC3944
Palo Alto:Muddled Libra
微软:Octo Temp
圈内统称:Scattered Spider,前身追溯为“The Com”地下黑产社群
核心关键特征(去中心化最大威胁)
-
由数十个5人以内小型独立子集群构成,无总头目、无统一指令;
-
所有子团伙共用钓鱼模板、木马工具、Telegram交流渠道,但作案互不关联;
-
即便一批犯罪分子被警方抓捕,其余分支照常发动攻击,威胁永久存续;
-
成员多为英美本土年轻人员,母语英语,完美模仿外企IT、人力客服口音,社工成功率极高。
团伙核心获利手段
SIM劫持盗号、加密货币钱包窃取、企业勒索、售卖内网访问权限、倒卖员工数据。
二、四大主攻行业,层层递进搭建攻击跳板
团伙不局限单一目标,擅长“先打中介,再攻高价值终端”,四大受害赛道全覆盖:
- 通信/营销SaaS厂商(最佳跳板)
主攻Twilio、Mailchimp、Iterable、运营商营业厅:
社工营业厅员工,拿到后台权限执行SIM换卡劫持;
入侵短信、邮件平台,批量下发钓鱼链接给海量企业客户;
极端手段:线下偷营业厅平板,电话套取设备登录密码。
甚至悬赏3000美元策反内部员工作为内应。
- 政企、零售、文娱大企业(勒索主战场)
知名案例:美高梅凯撒酒店勒索、Riot游戏源码泄露、英国玛莎百货内网入侵。
攻击路径:社工IT人员→获取SSO权限→横向渗透内网→部署DragonForce、ALPHV勒索软件,索要高额赎金,泄露源码、客户数据施压。
- Web3加密用户(终极变现目标)
所有分支同步开展币圈诈骗:
仿Coinbase等交易所钓鱼页面,搭配P1自动外呼机器人诱导用户点击盗币链接,同时劫持手机号拦截短信验证码,掏空钱包资产。
- 外包/客服BPO企业
外包公司手握大量甲方后台权限,黑客攻破后可跳转至数十家合作企业系统,相当于“一次入侵,批量收割客户”。
三、杀手锏攻击链路:不靠漏洞,全靠社工击穿防线
整套攻击流程标准化,所有子集群通用四步流水线,门槛极低,极易复刻:
Step1 多渠道社工围猎(电话+短信+钓鱼三合一)
- 语音钓鱼Vishing
黑客用Google Voice改号来电,精准模仿企业IT运维,谎称系统故障、账号异常,引导员工点开临时修复链接;
提前通过领英、泄露库收集公司组织架构,报出真实同事姓名,可信度拉满。
- 短信钓鱼Smishing
配套同步发送告警短信,附带仿Okta、微软SSO钓鱼网址,页面仅在线几分钟,打完电话立刻下线,溯源难度极高。
- 钓鱼页面高度复刻Okta、Citrix、谷歌企业登录页,输入账号密码后自动后台下载AnyDesk远控程序。
Step2 双重凭证窃取:密码+二次验证全拿走
普通钓鱼只偷账号,这套攻击直接突破MFA多因素验证:
-
拿到员工账号密码;
-
通过SIM劫持换走目标手机号,拦截所有短信验证码;
-
配套加密货币盗号工具,一键导出钱包私钥。
Step3 植入后门,长期控制内网
拿到终端权限后投放两类工具:
-
商用远控AnyDesk/TeamViewer伪装系统诊断工具;
-
Mimikatz抓取本机全部账号凭证,横向渗透域控、服务器。
Step4 变现三选一
-
内网部署勒索病毒加密服务器文件;
-
窃取客户数据、企业源码暗网售卖;
-
将内网访问权限打包,在黑产群转售给其他勒索团伙。
四、两大独家黑产工具,批量放大攻击效率
- P1自动外呼机器人
批量拨打海量企业员工电话,自动播报账号异常语音,提示按1转接人工客服;
只有按下按键的高警惕目标才会转接黑客真人,大幅节省诈骗人力。
- SnusBase泄露数据库
黑客提前爬取、采购全网泄露员工手机号、邮箱、企业架构,精准筛选高权限IT、财务人员定向打击。
五、企业高频中招4大典型场景
-
行政/运维接到陌生IT电话,未核验身份点开链接;
-
员工使用运营商副卡、企业统一手机号,遭遇SIM劫持;
-
企业仅部署短信二次验证,无硬件密钥防护;
-
外包客服、营销SaaS平台权限管控宽松,成为入侵跳板。
六、个人+企业完整防护方案
【企业安全加固(重中之重)】
-
统一部署FIDO2硬件安全密钥(YubiKey等),彻底淘汰短信MFA,杜绝SIM劫持突破验证;
-
制定来电核验制度:陌生IT电话必须企业内部专线回拨核实,禁止当场操作链接;
-
邮件网关拦截仿Okta、微软SSO钓鱼域名,监控短期上线临时钓鱼站点;
-
限制员工私自安装AnyDesk、TeamViewer,终端监控陌生远控程序;
-
通信、外包供应商开展第三方风险审计,定期收回闲置后台权限;
-
全员专项社工演练,模拟陌生客服来电钓鱼场景。
【员工个人防护】
-
企业账号优先使用硬件密钥,拒绝短信验证码;
-
运营商开启号码过户PIN码,防止SIM被恶意换卡;
-
任何短信、微信发来的系统告警链接,绝不直接点击,手动输入官网地址登录;
-
陌生来电索要账号、远程协助,一律挂断并上报安全部;
-
加密钱包分开使用独立手机号,不绑定工作电话。
七、文末总结
传统攻防思路总聚焦漏洞补丁、防火墙拦截,但Scattered Spider给所有企业敲响警钟:人,才是整个安全体系最薄弱的一环。
去中心化的黑产集群没有固定总部、统一负责人,抓捕少量成员无法根除威胁,攻击只会持续迭代。
比起堆安全设备,做好员工社工反诈培训、升级硬件多因素认证,才是抵御这类团伙最有效的手段。
转发给公司运维、人事、财务同事,警惕一通电话引发全网沦陷的重大安全事故!
加入知识星球,可获取权益
一、”全球高级持续威胁:网络世界的隐形战争”,总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。
二、为什么加入?
职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?
三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」
✅ 职业发展「精准导航」
1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;
晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;
技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。
✅ 安全方案「对症开方」
实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);
架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。
✅ 圈子资源「直接对接」
大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);
四、适合谁?
想突破职业天花板的安全工程师/架构师;
需快速落地安全项目的企业负责人;
关注行业动态的安全爱好者或IT从业人员。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《重磅预警!去中心化黑客集群Scattered Spider来袭:不靠0day,一通电话就能拿下企业全网》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论