FBI%20和%20CISA%20的警报凸显了%20Scattered%20Spider%20强大的初始访问策略，其中包括冒充%20IT%20或服务台员工来瞄准公司员工，诱骗他们提供凭据甚至直接网络访问。

个人策略包括电话、短信网络钓鱼、电子邮件网络钓鱼、MFA%20疲劳攻击和%20SIM%20交换。用于电子邮件和短信网络钓鱼的域滥用%20Okta%20和%20Zoho%20ServiceDesk%20品牌，并结合目标名称，使它们看起来合法。

在网络上建立立足点后，分散蜘蛛使用一系列公开可用的软件工具进行侦察和横向移动，包括：

• Fleetdeck.io：远程系统监控和管理
• Level.io：远程系统监控和管理
• Mimikatz：凭证提取
• Ngrok：通过互联网隧道访问远程%20Web%20服务器
• Pulseway：远程系统监控和管理
• Screenconnect :%20网络设备远程连接管理
• Splashtop :%20网络设备远程连接管理
• Tactical.RMM：远程系统监控和管理
• Tailscale：用于安全网络通信的%20VPN
• Teamviewer：网络设备远程连接管理

除了上述用于恶意目的的合法工具外，Scattered%20Spider%20还进行网络钓鱼攻击，安装%20WarZone%20RAT、Raccoon%20Stealer%20和%20Vidar%20Stealer%20等恶意软件，以窃取受损系统的登录凭据、cookie%20和其他在攻击中有用的数据。

在威胁组织最近的攻击中观察到的一种新策略是使用%20ALPHV/BlackCat%20勒索软件进行数据泄露和文件加密，然后通过消息应用程序、电子邮件或其他安全工具与受害者进行通信以协商赎金支付。

据了解，隶属于%20BlackCat%20的分散蜘蛛攻击者还利用勒索软件团伙的数据泄露网站作为勒索企图的一部分，他们在其中泄露数据或发布有关攻击的声明，就像他们对%20Reddit%20的攻击 一样。

Scattered Spider 对源代码存储库、代码签名证书和凭证存储等有价值的资产表现出特别的兴趣。

此外，攻击者还密切监视受害者的 Slack 频道、Microsoft Teams 和 Microsoft Exchange 电子邮件，以查找包含任何表明其活动已被发现的迹象的消息。

“威胁行为者经常参加事件补救、响应电话和电话会议，可能会确定安全团队如何追捕他们，并主动开发新的入侵途径以应对受害者的防御” –联邦调查局

该机构补充说，网络犯罪分子“通过在环境中创建新身份”来实现这一目标，这些身份通常拥有虚假的社交媒体资料，以获得错误的合法性。

拟议的缓解措施

FBI 和 CISA 建议实施特定的缓解措施，以防范 Scattered Spider 带来的威胁。

咨询中的主要建议包括：

1. 使用具有“白名单”的应用程序控件来管理软件执行。
2. 监控远程访问工具并实施防网络钓鱼的多重身份验证 (MFA)。
3. 通过最佳实践和 MFA 保护并限制远程桌面协议 (RDP) 的使用。
4. 维护离线备份并遵守强大的数据恢复计划。
5. 遵循 NIST 标准，获取强密码、不频繁更改的密码。
6. 定期更新系统和软件，重点修补漏洞。
7. 实施网络分段以控制流量并防止勒索软件传播。
8. 使用网络监控和端点检测和响应 (EDR) 工具来检测异常活动。
9. 通过禁用有风险的链接和加密备份数据来增强电子邮件安全性。

最后，建议组织针对公告中描述的 MITRE ATT&CK 技术测试和验证其安全控制。