2025年6月12日,美国最大的补充健康保险提供商——Aflac Incorporated(简称Aflac)披露其美国业务网络遭遇了未经授权的入侵。该事件虽未导致勒索软件加密,但攻击者成功获取了包括客户索赔信息、健康信息、社会安全号码等敏感数据。Aflac迅速启动网络事件响应协议,在数小时内遏制了入侵,保障业务连续运营,并委托第三方网络安全专家进行调查。
根据2025年6月20日发布的多份官方声明及公开报道,Aflac此次网络安全事件极可能是由被称为Scattered Spider的高技术网络犯罪团伙所为。该组织近年来频繁针对美国及全球大型企业发起复杂攻击,此次事件属于其针对美国保险行业的一部分网络犯罪浪潮。尽管受影响文件的具体人数尚未明确,但涉及的敏感信息涵盖客户、员工及代理人的多种个人数据,且公司已为受影响个人提供信用监控和身份保护服务。
此外,与Aflac同期遭受攻击的还有其他两家宾夕法尼亚州大型保险公司——Erie Indemnity Co.和Philadelphia Insurance Companies,均表明未出现勒索软件加密,但均经历了网络中断和服务影响。该系列事件显示,保险业正成为网络犯罪分子重点关注的目标行业。
二、Scattered Spider组织攻击技术战术的典型特征及变化
1. 社会工程驱动的精准渗透
Scattered Spider以其精英社会工程技能闻名,结合复杂的钓鱼攻击、SIM卡交换以及多因素认证轰炸等手段,能够快速渗透目标混合云与本地混合环境。Halcyon安全研究中心的报告指出,该团伙针对混合环境的攻击不仅限于内部部署系统,也涵盖云服务和虚拟主机,体现其攻击面广泛,技术手段多样。
2. 隐秘的权限提升与持久化
该组织擅长利用Active Directory证书服务、签名的易受攻击驱动程序以及凭证转储等手段,实现系统级别的隐秘访问和持久化控制。通过滥用单点登录或服务账户,Scattered Spider能确保即使目标密码重置,依然保有访问权限,从而有效规避安全检测并维持长期潜伏。
3. 双重勒索策略与环境范围破坏
Scattered Spider典型的攻击流程为先在数小时内窃取敏感数据,再部署勒索软件(如DragonForce、Qilin、Akira或Play)对环境进行破坏,形成所谓“双重勒索”威胁。此次Aflac及其他保险公司事件中,虽未见勒索软件加密迹象,但安全专家推测攻击或因早期发现而中断,亦或该组织已调整策略,专注于数据窃取和勒索威胁,而非必然加密。
4. 合法远程访问工具的恶意利用
为了维持隐秘且持续的远程访问,Scattered Spider大量使用AnyDesk、Ngrok、Fleetdeck等正规远程控制工具。这种利用合法软件进行隐蔽连接的策略,有效躲避传统安全防护的检测,极大提升攻击持续性和隐蔽性。
5. 攻击对象和攻击节奏的转变
2023年起,Scattered Spider从针对英国零售业逐步转向美国保险业,体现其针对行业的动态调整。此前,攻击对象还包括米高梅度假村、Twilio、Coinbase、DoorDash等知名企业。该组织每次重点锁定单一行业,快速攻击多家公司后,转向新行业,显现其策略的系统性和高效性。
三、Scattered Spider组织画像
Scattered Spider,又称0ktapus、UNC3944、Scatter Swine、Starfraud和Muddled Libra,是一个高度专业化、技术精湛的网络犯罪团伙。该组织融合先进的社会工程学和技术渗透技巧,针对具备高价值数据且业务连续性容忍度低的企业发起精准打击。其作案手法包括复杂的钓鱼、凭证盗取、持久权限保持和敏感数据迅速窃取,同时配合勒索软件进行环境级破坏。
其与多家勒索软件集团如DragonForce、Qilin和Akira等存在合作关系,共同实现数据勒索和赎金获取。Scattered Spider极为注重隐秘性和高效性,能够在短时间内完成数据外泄及勒索部署,极大威胁企业网络安全。
四、趋势分析及安全建议析
随着保险行业数字化和云化进程加快,客户数据及核心业务系统面临越来越多复杂威胁。Scattered Spider选择针对该行业,显现其对数据价值和攻击收益的精准评估。其多样化的攻击手法和持续优化的技术手段,使得保险企业成为网络犯罪高风险目标。此次Aflac事件表明,勒索软件不再是唯一威胁,数据窃取和社会工程攻击成为主流,勒索团伙正在演变成更为灵活多样的威胁主体。
此外,该组织侧重社会工程攻击服务台和呼叫中心,揭示企业内部人员和操作流程可能是网络安全薄弱环节。保险企业应对此提高警觉,强化员工安全意识及多层防护措施。
安全建议如下:
-
强化社会工程防范:针对客服、技术支持等关键岗位加强安全培训,采用模拟钓鱼演练,提升员工识别和应对能力。
-
严格访问控制:对Active Directory及云服务访问权限进行细致管理,及时撤销无效或过期凭证,实施多因素认证,防止凭证滥用。
-
持续监控与响应:部署高级威胁检测技术,监控异常登录行为及横向移动,建立快速事件响应机制,确保攻击早期被发现和遏制。
-
定期安全评估和漏洞修复:定期进行渗透测试和安全审核,及时修补已知漏洞,特别关注涉及远程访问和身份认证系统的安全。
-
备份与恢复准备:建立健全的数据备份体系和灾难恢复计划,确保在遭遇攻击时能够迅速恢复业务连续性。
-
加强供应链安全:鉴于Scattered Spider多次通过第三方服务渠道进行攻击,保险公司需加强对合作伙伴及外包服务的安全管理。
结语
Scattered Spider作为一个高度复杂且具备强大社会工程能力的网络犯罪团伙,其转向针对美国保险业发起一系列攻击,暴露了行业面临的严峻网络威胁。Aflac事件只是警钟,提示整个保险行业乃至采用混合云基础设施的各类企业,需对这一持续演化的威胁保持高度警惕。通过强化技术防御与安全文化建设,企业方能有效抵御Scattered Spider及类似团伙的攻击,保障客户数据和业务安全。
原文始发于微信公众号(网空闲话plus):警惕:黑客组织Scattered Spider转向攻击保险行业
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论