名为散布蜘蛛 ( Scattered Spider ) 的鸠集作歹组织通过抨击好意思国零卖、航空、运载和保障行业的 VMware ESXi 照管设施赌钱赚钱软件官方登录，积极对准捏造化环境。

字据谷歌恫吓谍报组织（GITG）的说法，抨击者一直在使用他们频频的计策，不包括错误运用，而是依靠竣工扩充的社会工程"绕过熟识的安全设施"。

Scattered Spider 抨击

盘问东说念主员暗示，该团伙通过在招呼 IT 匡助台时冒充职工随后泉源抨击。恫吓者的目标是劝服代理篡改职工的 Active Directory 密码，从而得到开动探听权限。

这么，Scattered Spider 就不错扫描鸠集建立，寻找大略提供高价值方针的 IT 文档，比如域或 VMware vSphere 照管员的称号，以及不错提供捏造环境照管权限的安全组。

与此同期，他们扫描特权探听照管（PAM）处治决策，这些处治决策可能包含敏锐数据，这些数据对回荡到有价值的鸠集钞票很有用。

然后，黑客们通过我方的神志得到了对该公司 VMware vCenter Server Appliance （vCSA）的探听权——这是一种允许照管 VMware vSphere 环境的捏造机，其中包括用于照管物理工作器上统统捏造机的 ESXi 照管设施。

此级别的探听权限使他们大略在 ESXi 主机上启用 SSH 联贯并重置根密码。此外，他们扩充所谓的"磁盘交换"抨击，以索求 Active Directory 的 NTDS.dit 重要数据库。

磁盘替换抨击发生在恫吓者关闭域死心器捏造机 ( VM ) 并仅区分其捏造磁盘，然后将其附加到他们死心的另一个未受监控的 VM 上时。在复制敏锐数据（举例 NTDS.dit 文献）后，他们还原该历程并开启域死心器机器。

需要致密的是，Scattered Spider 在捏造基础设施上得到的死心级别允许它们照管统统可用的钞票，包括备份机器，这些机器被断根了备份功课、快照和存储库。

在抨击的终末阶段，Scattered Spider 运用他们的 SSH 探听来拜托和部署恐吓软件二进制文献，以加密数据存储中检测到的统统 VM 文献。

字据他们的不雅察，GTIG 盘问东说念主员暗示，散布蜘蛛抨击有五个不同的阶段，这些阶段允许黑客从初级探听回荡到敷裕死心捏造机照管设施。

Scattered Spider 抨击

一个散布的蜘蛛抨击链，从开端的探听到数据闪现和恐吓软件部署，可能在几个小时内发生。据谷歌关联东说念主员暗示，即使莫得运用任何软件错误，恫吓者也设法对通盘捏造环境进行前所未有的死心，使他们大略绕过好多传统的宾客安全死心。

诚然针对 ESXi 捏造机照管设施并不是什么簇新事，但 GTIG 指出，他们正看到越来越多的恐吓软件组织遴荐这种计策，并展望这个问题会越来越严重。

这背后的一个原因可能是，敌手仍是致密到，VMware 的基础设施频频不被组织所了解，因此，莫得得到强有劲的退避。

为了匡助组织对抗这些抨击，谷歌发布了一篇本领著作，形容了 Scattered Spider 抨击的各个阶段，讲明了为什么它是灵验的，并提供了公司不错遴荐的步履，以便在早期阶段检测到错误。

提倡的步履可归纳为三个主要方面：

·使用 execinstalldonly、捏造机加密和禁用 SSH 锁定 vSphere。幸免 ESXi 上的 AD 径直联贯，删除孑然捏造机，扩充严格的 MFA 和探听计策。执续监控设立漂移。

·跨 VPN、AD 和 vCenter 使用防鸠集垂纶的 MFA。隔断 Tier 0 钞票（数据中心、备份、PAM），幸免将它们托管在它们所保护的相易基础设施上。探讨单独的云 idp 来冲突 AD 依赖。

·将日记集结在 SIEM 中，并对重要当作（如照管员组篡改、vCenter 登录和启用 SSH）进行警报。使用弗成变的气隙备份和针对照管设施层抨击的测试收复。

Scattered Spider（也被称为 UNC3944赌钱赚钱软件官方登录， Octo Tempest，0ktapus）是一个以经济为动机的恫吓组织，成心从事社会工程，它最近加强了对英国大型零卖公司、航空公司和运载实体以及保障公司的抨击当作。尽管英国国度作歹局逮捕了该组织的 4 名疑似成员，但源自其他集群的坏心当作并莫得消退，安全盘问东说念主员提倡东说念主们应该不息保执严慎。