拉斯维加斯赌场遭受勒索病毒攻击

重要要点

本周，MGM国际和凯撒娱乐遭受的勒索病毒攻击引起广泛关注。据报导，凯撒娱乐向攻击者支付了数百万赎金，而MGM则正在与攻击者进行谈判。这些事件对拉斯维加斯的赌场造成了严重的扰乱，但令安全领域专业人士感到沮丧的是，背后的攻击者Scattered Spider的社交工程技术和执行策略已经存在好几个月。

Callie Guenther，Critical Start的网络威胁研究高级经理表示，Scattered Spider是一个以财利为驱动的威胁组织，自2022年5月以来活跃。该组织最近使用了一种称为自有可漏洞驱动程序BYOVD的技术，借助部署易受攻击的内核模式驱动程序来提升在Windows系统中的权限，从而拦截终端检测和响应EDR解决方案的检测。

“由于设备驱动程序具有直接的内核访问，利用其漏洞使得攻击者可以在Windows中以最高权限执行代码。”Guenther解释道。

Scattered Spider，也被Mandiant Google Cloud称为UNC3944，由位于美国和英国的黑客组成，其中一些年龄甚至只有19岁。在昨天的 LinkedIn 帖子 中，Google Cloud的Mandiant Consulting首席技术官Charles Carmakal表示，尽管该组织成员的经验和年龄可能较小且不如一些已建立的勒索病毒组织和国家间谍行动者那么成熟，但它们对美国的大型组织仍然构成严重威胁。Carmakal还指出，许多成员都是以英语为母语的人，并且在社交工程方面非常有效。

研究机构Crowdstrike和Trellix早前也观察到了这些策略，并在今年早些时候的博客中发布了相关内容。Crowdstrike的博客 于1月发布，而Trellix的博客则在8月发布。

Guenther表示，Scattered Spider特别尝试绕过Microsoft Defender for Endpoint、Palo Alto Networks Cortex XDR和SentinelOne等安全产品。值得注意的是他们在操作中利用了Intel Ethernet诊断驱动程序中的旧漏洞CVE20152291。尽管此漏洞在2015年已经修补，Scattered Spider却在被攻击的设备上植入了旧的、仍然存在漏洞的版本，从而能够利用该漏洞，而不受系统更新影响。

研究人员揭示攻击者的背景

虽然对于BYOVD的见解引起了关注，也揭示了可能发生的情况，但尚未确认Scattered Spider是否在MGM或凯撒娱乐的攻击中使用了这些策略。

根据一篇X平台帖子的报导，前身为Twitter的vxunderground表示，ALPHV与Scattered Spider合作，运用社交工程技术似乎导致了Scattered Spider获取MGM网络的访问权限：“ALPHV勒索病毒组织