ScatteredSpider溯源实战,FBI和微软怎么把匿名账号归因到真人身上

admin 2026-07-03 05:00:51 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文通过美国司法部对网络犯罪团伙ScatteredSpider成员彼得·斯托克斯的控告书,复盘了其入侵奢侈品零售商CompanyF的完整技术链条,并深入解析了FBI与微软如何通过IP追踪、设备指纹、账号关联等五条独立证据链,将匿名网络行为归因于真人。文章最后从技术防御角度,提出了加固身份核验、限制高权限凭据、监控内网穿透工具等应对建议。 综合评分: 95 文章分类: 渗透测试,溯源实战,应急响应,恶意软件,网络安全


cover_image

Scattered Spider 溯源实战,FBI 和微软怎么把匿名账号归因到真人身上

原创

mayfly mayfly

独眼情报

2026年7月3日 00:00 湖北

在小说阅读器读本章

去阅读

2026 年 7 月 1 日,美国司法部公开了对彼得·斯托克斯(Peter Stokes,网名「Bouquet」「Spencer」「Jordan」)的补充刑事控告书。斯托克斯是美国与爱沙尼亚双重公民,现年 19 岁,被控为网络犯罪团伙 Scattered Spider(该团伙亦被称为 Octo Tempest、UNC3944、0ktapus)成员。他于 2026 年 4 月 10 日在芬兰赫尔辛基机场准备登机飞往日本时被捕,6 月引渡至美国,6 月 30 日在芝加哥联邦法院首次出庭。

这份文件对技术从业者的价值在于两点:第一,控告书把一起完整入侵的技术链条摆到了明面上——从一通电话到上亿字节数据外流,每一步都有服务器日志和第三方记录支撑;第二,联邦调查局和微软如何把一个匿名 ngrok 隧道账号一步步钉死到一个具体真人身上,这套方法论本身就是一份可读的数字取证案例。

入侵链条:Company F 事件

控告书详细复盘的核心事件,是 2025 年 5 月 12 日至 15 日发生在一家控告书代称为「Company F」的奢侈品零售商身上的入侵——媒体报道称其为一家市值数十亿美元的奢侈品零售商,具体名称至今未见任何信源公开确认,本文也不做猜测。

第一步,语音钓鱼撞开门缝。 攻击者用两个 Google Voice号码,尾号分别为 8777 和 2742,冒充 Company F 员工致电公司技术支持台,要求重置密码与多因素认证绑定设备。两到三个小时内,三个员工账号失守,其中两个属于 IT 管理员——这两个账号本身是标准权限,但验证通过后可以临时申领高权限凭据,攻击者正是靠「先撞开标准账号、再申领临时高权限」这条路径拿到了管理权限。

第二步,用合法工具搭隧道。 拿到高权限后,攻击者进入了 Company F 位于新泽西数据中心、用于管理虚拟服务器和云计算资源的平台,并在一台虚拟服务器上部署了 ngrok agent——ngrok 是开发者常用的内网穿透工具,能把本地服务安全地暴露到公网,本身不是攻击工具。控告书记录了具体的 ngrok 认证令牌和账号 ID,这个账号在 5 月 12 日至 13 日间产生了 5 次连接、12 次隧道事件,先传入约 9950 万字节、传出约 12.7 亿字节数据——从量级看,这更像是工具部署和侦察阶段,而非批量搬运。

第三步,批量外流。 真正的数据搬运靠的是 Teleport.sh(另一款远程访问隧道工具)和亚马逊的云存储服务 S3(Amazon Simple Storage Service),目标是 OneDrive 个人文件、Active Directory(微软的目录服务,用于集中管理组织内的用户和设备)数据以及运维管理套件数据。尽管 Company F 安全团队一直在尝试封堵,攻击者仍在 5 月 12 日到 15 日之间维持住了持续访问,经服务器日志确认外流数据量至少达到 770 亿字节。

第四步,勒索未遂到敲诈得手。 攻击者原本尝试部署勒索软件加密,被安全团队挡了下来——这点值得记一笔:即便对手已拿到高权限并持续访问三天,加密阶段依然可能被拦截。但加密失败没让攻击者收手:5 月 15 日,他们用一个被攻陷的 Company F 内部邮箱账号发出勒索邮件,自称偷走了 1000 亿字节数据,「包括原始信用卡信息和支付细节」。这个 1000 亿字节的数字来自攻击者自己在勒索信里的说法,和前面经服务器日志核实的 770 亿字节不是一回事——看这类通报时,「攻击者自称」和「技术日志实证」要始终分开看待,两者经常对不上(个别二手报道把这两个数字混为一谈,读者需要留意)。

谈判持续到 6 月 2 日,攻击者开价约 800 万美元加密货币,Company F 拒绝支付,直接损失(业务中断、调查、补救)约 200 万美元,且预计还有后续损失。这条链路——语音钓鱼撞技术支持台、拿临时高权限、用合法隧道工具规避检测、批量上云外流、加密受阻转纯勒索——和美国网络安全和基础设施安全局(CISA)2025 年 7 月更新的 Scattered Spider 联合通告里描述的模式高度吻合,不是孤例。

溯源方法论:五条证据链怎么收敛到同一个人

比入侵链条更值得细读的,是控告书如何把一个匿名 ngrok 账号变成一张逮捕令。这不是单一「铁证」,而是五条相互独立的证据线在时间和身份上收敛。

线索一,IP 与设备指纹。 ngrok 账号注册 IP(尾号 .168)被查明属于 Tzulo 公司在伊利诺伊州 Mount Prospect 托管的一台 VPN(Virtual Private Network,虚拟专用网络)代理服务器。FBI 从微软取得记录,查到同一时刻(5 月 12 日 19:21 UTC,Coordinated Universal Time,协调世界时)访问 ngrok 注册页面的设备携带一个微软的「全局设备标识符」(GDID,Global Device Identifier)——这是绑定在某台设备 Windows 系统安装上的持久性标识,同一系统不重装就不会变。约三小时后,同一设备通过同一代理访问了 Company F 官网,行为模式符合攻击者踩点确认目标的动作。

线索二,设备指纹与真人账号的时间重叠。 这枚 GDID 的完整 IP 使用记录,和已知由斯托克斯本人控制的 Snapchat、两个 Apple 账号、Facebook 账号的登录 IP,在至少四个独立日期上重叠,且都发生在同一天的几个小时窗口内:2024 年 6 月 4 日在塔林(斯托克斯居住地);2024 年 11 月 17—18 日在纽约,与国务院旅行记录及斯托克斯在四季酒店、华尔道夫酒店、一场纽约 UFC 赛事的 Snapchat 定位照片吻合;2024 年 11 月 26 日该设备访问了纽约帝国酒店官网,斯托克斯同期发布的一张房间照片,家具与地毯同该酒店公开宣传的套房高度一致;2025 年 1 月底到 2 月初在泰国,与他晒出的曼谷华尔道夫酒店水瓶和自拍相符。这几个节点不是孤立的 IP 匹配,而是叠加了美国国务院旅行记录或酒店实体细节的交叉印证。

线索三,同一账号体系串起多个作案工具。 一个特定 Google 账号(订阅信息含邮箱 [email protected])同时是尾号 2742 钓鱼电话号码、ngrok 账号和 Teleport.sh 账号的注册信息持有者——一个身份把打电话、搭隧道、搬数据这三步串成了一条线。

线索四,另一台服务器上的 RDP 日志。 一台被多起受害企业数据占用、代号「Subject Server 1」的虚拟专用服务器上,远程桌面协议(RDP,Remote Desktop Protocol)登录日志显示,登入该服务器的 IP 与登入斯托克斯个人账号的 IP,在数月窗口期内反复出现在同一 24 小时区间——这条线独立于前面的 ngrok/GDID 证据链,指向同一个操作者。

线索五,微软的独立情报交叉验证。 早在政府自己做 IP 关联分析之前,微软已在 2024 年 10 月的一份刑事线索转介中,基于自身掌握的恶意软件处理记录和遥测数据,判断化名「spencer」的人「很可能」真名为彼得·斯托克斯、「大概」住在塔林,并指出这个身份牵涉 2022 年至 2024 年间数十起 Octo Tempest 入侵(包括针对美英关键基础设施的攻击)。控告书特别提到,微软此前提供的同类线索在多起案件里都被后续法律程序独立证实过——这句话本身也是在向法庭说明这个信源的历史可信度。

五条证据链方法论上各自独立,却收敛到同一身份,是这份控告书证据结构上的核心特点。也要如实说一句:控告书自己承认,斯托克斯名下一个 Apple 账号「似乎被包括斯托克斯在内的多人使用过」——提醒专业读者,设备/账号关联类证据存在「一机多人」的固有局限,不是每条线索都同等干净,只是这起案件里最核心的几条证据链(GDID、Snapchat、RDP)在文件描述中都被单独确认为单一用户使用。

除了这条以设备指纹为主的推理链,控告书里还有一段分量不同的直接证据:2023 年 3 月对 Company H(一家在线通讯平台)的入侵中,该公司向 FBI 提交的犯罪线索里包含了攻击发生时段的实时聊天记录,显示化名「Bouquet」的用户在入侵进行中与同伙实时讨论如何用虚拟机接入、如何搜索工单、要不要收手。「Bouquet」这个身份通过一张带有「Peter William Stokes」字样的作业照片、微软对其邮箱的关联判定,以及同伙本人向 FBI 的确认,三方独立印证为斯托克斯。相比 Company F 那条基于设备/IP 关联的推理链,Company H 这部分是更直接的行为证据。

对防御方的技术启示

把控告书里的技术细节倒过来看,几乎每一步都对应一条可落地的防御动作:

  • 技术支持台身份核验是第一道、也是最常被攻破的一道防线。本案、玛莎百货、MGM、Caesars 无一例外都从这里破防。密码/MFA 重置类请求应当要求带外验证(回拨注册号码、视频核验),而非仅凭电话里报出的个人信息。
  • 临时高权限凭据的申领流程本身需要二次核准,不能把「标准账号验证通过」直接等同于「可以发放高权限临时凭据」——本案里两个 IT 管理员账号正是靠这条路径被攻破的。
  • 把抗钓鱼的硬件密钥(FIDO2/WebAuthn)作为 MFA 首选,能直接掐断「重置 MFA 绑定设备」这条路径。
  • 把 ngrok、Teleport.sh、Cloudflare Tunnel 一类内网穿透工具的出站流量当作一类一级检测信号,而非背景噪音——CISA 通告已把这类合法工具的滥用列为该团伙的标志性手法。
  • 对 S3、OneDrive、Active Directory 一类的批量导出行为设置异常检测阈值。
  • 应急响应期间默认攻击者可能还潜伏在 Slack/Teams 里——已有案例显示该团伙会主动搜索并加入受害企业的应急响应沟通频道以掌握追捕进度,应急协调应转移到攻击者接触不到的带外信道。
  • 不要把「挡住了勒索软件加密」等同于「威胁已解除」——本案里加密被拦下之后,攻击者照样凭已经到手的数据完成了敲诈,数据外流本身就是勒索筹码。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:独眼情报 mayfly mayfly《Scattered Spider 溯源实战,FBI 和微软怎么把匿名账号归因到真人身上》

HTB靶机Reactor 网络安全文章

HTB靶机Reactor

文章总结: 本文详细记录了HTB靶机Reactor的渗透测试过程,包括信息收集发现Next.js应用、利用漏洞反弹shell、横向移动获取数据库密码并解密、最终
评论:0   参与:  0