駭客組織疑似聯手，資安威脅再升級

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心近期社群平台與威脅情資顯示，一個自稱由多個駭客組織所組成的聯盟「Scattered LapSus Hunters」開始備受矚目。 雖然目前該聯盟尚未提出具體技術證據，證實成功入侵某國際雲端與網路服務供應商的資料庫，該企業亦未發現新增漏洞或入侵跡象，但影響力仍不容忽視。 今年8月該企業曾證實其第三方合作廠商遭到另一個駭客組織「ShinyHunters」攻擊，造成部分資料外洩，值得注意的是，資安事件發生於第三方系統，非該企業的核心基礎架構，凸顯第三方供應鏈安全管理的重要性。 根據現有情資分析，「Scattered LapSus Hunters」疑似由三個知名駭客組織組成。 這包括以複雜社交工程手法聞名的 「Scattered Spider」、針對大型科技公司發動攻擊的「LapSus」，以及長期活躍於暗網，從事大規模資料外洩的「ShinyHunters」。 若此聯盟確實成立，將代表不同攻擊手法和資源的整合，可能使網路威脅進一步升級，對企業資安防護帶來更大挑戰。 三個駭客組織各自採用不同且具特色的攻擊手法： Scattered Spider 以先進的社交工程著稱，目標多為金融、零售、航空及供應鏈關鍵產業。 該組織常利用冒充IT支援人員的手段，透過語音釣魚(Vishing)、SIM卡交換(SIM-swapping)、多因子認證疲勞(MFA bombing)等攻擊手法繞過多因子認證，竊取內部憑證並進行橫向移動，各國執法與資安機構已發布聯合諮詢與防範建議。 Lapsus（亦以 Microsoft 代號 DEV-0537）以鎖定大型科技或供應商後利用內部憑證與遠端桌面工具取得敏感資料、再以公開威脅或直接上傳暗網勒索聞名。 該群組手法看似「不一定靠高階零日」，但靠持續社交工程、內部協助者或竊取管理憑證來達成破壞與外洩，並在公開平台（如 Telegram）散布被盜資料以施壓。 其攻擊手法與影響力曾引起政府專門報告與檢討。 ShinyHunters 自 2020 年起多次公佈大量資料外洩，受害範圍包括電商、雲端服務及應用程式使用者資料。 該組織透過社交工程攻擊手法與利用未修補的系統漏洞進行入侵，並迅速整理竊取的資料，隨即在暗網販售或公開外洩，形成持續且具高影響力的資料洩漏事件。 在觀察的三個駭客組織中，不難發現社交工程已成為其主要且常用的入侵手段，通常包括釣魚郵件、SIM swapping 與內部帳號收買等技術，面對駭客組織可能聯手帶來的升級威脅，組織不僅需強化既有的技術防護手段，更應提升員工的資安意識，加強防範社交工程攻擊的風險。 同時，應全面檢視供應鏈及第三方合作夥伴的資安措施，避免成為駭客的攻擊入口。 此外，企業應建立跨部門協同的資安應變計畫，確保在面對大規模資料外洩或勒索攻擊時，能快速偵測、通報及回應，從而提升組織面對多個駭客組織聯合攻擊時的韌性與抵禦能力。近期社群平台與威脅情資顯示，一個自稱由多個駭客組織所組成的聯盟「Scattered LapSus Hunters」開始備受矚目。 雖然目前該聯盟尚未提出具體技術證據，證實成功入侵某國際雲端與網路服務供應商的資料庫，該企業亦未發現新增漏洞或入侵跡象，但影響力仍不容忽視。 今年8月該企業曾證實其第三方合作廠商遭到另一個駭客組織「ShinyHunters」攻擊，造成部分資料外洩，值得注意的是，資安事件發生於第三方系統，非該企業的核心基礎架構，凸顯第三方供應鏈安全管理的重要性。 根據現有情資分析，「Scattered LapSus Hunters」疑似由三個知名駭客組織組成。 這包括以複雜社交工程手法聞名的 「Scattered Spider」、針對大型科技公司發動攻擊的「LapSus」，以及長期活躍於暗網，從事大規模資料外洩的「ShinyHunters」。 若此聯盟確實成立，將代表不同攻擊手法和資源的整合，可能使網路威脅進一步升級，對企業資安防護帶來更大挑戰。 三個駭客組織各自採用不同且具特色的攻擊手法： Scattered Spider 以先進的社交工程著稱，目標多為金融、零售、航空及供應鏈關鍵產業。 該組織常利用冒充IT支援人員的手段，透過語音釣魚(Vishing)、SIM卡交換(SIM-swapping)、多因子認證疲勞(MFA bombing)等攻擊手法繞過多因子認證，竊取內部憑證並進行橫向移動，各國執法與資安機構已發布聯合諮詢與防範建議。 Lapsus（亦以 Microsoft 代號 DEV-0537）以鎖定大型科技或供應商後利用內部憑證與遠端桌面工具取得敏感資料、再以公開威脅或直接上傳暗網勒索聞名。 該群組手法看似「不一定靠高階零日」，但靠持續社交工程、內部協助者或竊取管理憑證來達成破壞與外洩，並在公開平台（如 Telegram）散布被盜資料以施壓。 其攻擊手法與影響力曾引起政府專門報告與檢討。 ShinyHunters 自 2020 年起多次公佈大量資料外洩，受害範圍包括電商、雲端服務及應用程式使用者資料。 該組織透過社交工程攻擊手法與利用未修補的系統漏洞進行入侵，並迅速整理竊取的資料，隨即在暗網販售或公開外洩，形成持續且具高影響力的資料洩漏事件。 在觀察的三個駭客組織中，不難發現社交工程已成為其主要且常用的入侵手段，通常包括釣魚郵件、SIM swapping 與內部帳號收買等技術，面對駭客組織可能聯手帶來的升級威脅，組織不僅需強化既有的技術防護手段，更應提升員工的資安意識，加強防範社交工程攻擊的風險。 同時，應全面檢視供應鏈及第三方合作夥伴的資安措施，避免成為駭客的攻擊入口。 此外，企業應建立跨部門協同的資安應變計畫，確保在面對大規模資料外洩或勒索攻擊時，能快速偵測、通報及回應，從而提升組織面對多個駭客組織聯合攻擊時的韌性與抵禦能力。 See more: https://www.twcert.org.tw/tw/cp-104-10414-36e40-1.html