与 "Scattered Spider" 战术有关的黑客在攻击保险和零售行业之后，将目标扩大到航空和运输行业。这些威胁者采用了逐个行业进行攻击的方法，最初针对英国和美国的零售公司，如 M&S 和 Co-op，随后将重点转移到保险公司。

虽然这些威胁者一开始并没有被正式指定为对保险行业的攻击负责，但最近的事件已经影响了 Aflac、Erie 保险公司和费城保险公司。

黑客攻击航空业

6 月 12 日，加拿大第二大航空公司 WestJet 遭遇网络攻击，导致公司内部服务和移动应用程序短暂中断。泄露事件发生后不久，Palo Alto Networks 和微软正在协助应对这次攻击。

这次攻击被归咎于 Scattered Spider 组织，据称它破坏了该公司的数据中心和微软云环境。

威胁者通过为一名员工执行自助密码重置来获得访问权限，这使他们能够注册自己的 MFA，并通过 Citrix 远程访问网络。

当其他威胁者进行身份攻击时，由于他们经常以帮助台、密码和 MFA 基础设施为目标，Scattered Spider 已经与这种策略联系在一起。

目前，夏威夷航空公司也披露，他们遭受了网络攻击，但没有提供任何细节可以表明谁是攻击的幕后黑手。随后据多方了解，Scattered Spider 应该对此负责。

Palo Alto Networks 负责咨询和威胁情报的高级副总裁证实，Scattered Spider 已经开始瞄准航空业。

Mandiant 的 Charles Carmakal 还警告说，威胁者现在已经将注意力转移到航空和运输领域。据悉，Scattered Spider 已将北美航空公司和运输公司加入了他们的目标名单。

Mandiant 建议业界立即采取措施，在向员工 / 承包商帐户添加新的电话号码（威胁者可以使用它来执行自助密码重置），重置密码，向 MFA 解决方案添加设备或提供可用于后续社会工程攻击的员工信息（例如员工 id）之前，加强其帮助台身份验证流程。

美国航空公司目前也遭遇了 IT 故障，但尚不清楚这是否是安全事故。有媒体联系了航空公司，但没有收到回复。

什么是 Scattered Spider

Scattered Spider，也被称为 0ktapus、Starfraud、UNC3944、Scatter Swine、Octo Tempest 和 Muddled Libra，是一种威胁者的分类，擅长使用社会工程攻击、网络钓鱼、多因素认证（MFA）轰炸（目标 MFA 疲劳）和 SIM 交换来获得大型组织的初始网络访问权限。

这些威胁者拥有不同的技能，经常光顾同一个黑客论坛、Telegram 频道和 Discord 服务器。然后使用这些媒介来实时计划和执行攻击。

其中一些人被认为是 "Com" 的一部分——一个以金融欺诈、加密货币盗窃、数据泄露和勒索攻击而闻名的松散威胁行为者社区。

虽然 Scattered Spider 通常被认为是一个有凝聚力的团伙，但它实际上是用来表示在进行攻击时使用特定策略的威胁组织。由于与 Scattered Spider 战术相关的攻击也经常被来自松散威胁者网络的不同个体使用，因此很难跟踪它们。

与许多其他威胁组织不同，与 Scattered Spider 有关的组织与讲俄语的勒索软件团伙合作，如黑猫、RansomHub 和 DragonForce。

其他与 Scattered Spider 有关的攻击包括米高梅、玛莎百货、Co-op、Twilio、Coinbase、DoorDash、Caesars、MailChimp、Riot Games 和 Reddit。

组织防御这种类型的威胁者应该从获得整个基础设施、身份系统和关键管理服务的完全可见性开始。这包括保护自助密码重置平台和帮助台，这是这些威胁者的常见目标。

谷歌威胁情报集团（GTIG）和 Palo Alto Networks 都发布了针对这些威胁者使用的已知 Scattered Spider 策略的强化防御指南。建议所有管理员熟悉这些技巧，并加强他们的身份平台和流程。