Aggregator

Although 79% of organizations are already running AI in production, only 6% have put in place a comprehensive security strategy designed specifically for AI. As a result, most enterprises remain exposed to threats they are not yet prepared to detect or respond to, according to the SandboxAQ AI Security Benchmark Report. AI risks raise alarm among security leaders The report, based on a survey of 102 senior security leaders across the US and EU, underscores … More →

The post AI is here, security still isn’t appeared first on Help Net Security.

Corporate boards are adjusting to a more uncertain proxy landscape, according to EY’s 2025 Proxy Season Review. The report highlights four key 2025 proxy season trends shaping governance this year: more oversight of technology, fewer shareholder proposals (especially on sustainability), stronger support for directors, and continued approval of executive pay packages. Source: Analysis by EY Center for Board Matters The 2025 season took place against a backdrop of shifting regulation, political pressure, and changing investor … More →

The post Boards shift focus to tech and navigate cautious investors appeared first on Help Net Security.

名为分散蜘蛛 (Scattered Spider)的网络犯罪组织通过攻击美国零售、航空、运输和保险行业的VMware ESXi管理程序，积极瞄准虚拟化环境。

根据谷歌威胁情报组织（GITG）的说法，攻击者一直在使用他们通常的策略，不包括漏洞利用，而是依靠完美执行的社会工程“绕过成熟的安全程序”。

Scattered Spider攻击

研究人员表示，该团伙通过在呼叫IT帮助台时冒充员工随后开始攻击。威胁者的目的是说服代理更改员工的Active Directory密码，从而获得初始访问权限。

这样，Scattered Spider就可以扫描网络设备，寻找能够提供高价值目标的IT文档，比如域或VMware vSphere管理员的名称，以及可以提供虚拟环境管理权限的安全组。

与此同时，他们扫描特权访问管理（PAM）解决方案，这些解决方案可能包含敏感数据，这些数据对转移到有价值的网络资产很有用。

然后，黑客们通过自己的方式获得了对该公司VMware vCenter Server Appliance （vCSA）的访问权——这是一种允许管理VMware vSphere环境的虚拟机，其中包括用于管理物理服务器上所有虚拟机的ESXi管理程序。

此级别的访问权限使他们能够在ESXi主机上启用SSH连接并重置根密码。此外，他们执行所谓的“磁盘交换”攻击，以提取Active Directory的NTDS.dit关键数据库。

磁盘替换攻击发生在威胁者关闭域控制器虚拟机 (VM) 并仅分离其虚拟磁盘，然后将其附加到他们控制的另一个未受监控的VM上时。在复制敏感数据（例如 NTDS.dit 文件）后，他们还原该过程并开启域控制器机器。

需要注意的是，Scattered Spider在虚拟基础设施上获得的控制级别允许它们管理所有可用的资产，包括备份机器，这些机器被清除了备份作业、快照和存储库。

在攻击的最后阶段，Scattered Spider利用他们的SSH访问来交付和部署勒索软件二进制文件，以加密数据存储中检测到的所有VM文件。

根据他们的观察，GTIG研究人员表示，分散蜘蛛攻击有五个不同的阶段，这些阶段允许黑客从低级访问转移到完全控制虚拟机管理程序。

Scattered Spider攻击

一个分散的蜘蛛攻击链，从最初的访问到数据泄露和勒索软件部署，可能在几个小时内发生。据谷歌相关人员表示，即使没有利用任何软件漏洞，威胁者也设法对整个虚拟环境进行前所未有的控制，使他们能够绕过许多传统的来宾安全控制。

虽然针对ESXi虚拟机管理程序并不是什么新鲜事，但GTIG指出，他们正看到越来越多的勒索软件组织采用这种策略，并预计这个问题会越来越严重。

这背后的一个原因可能是，对手已经注意到，VMware的基础设施通常不被组织所了解，因此，没有得到强有力的防御。

为了帮助组织抵御这些攻击，谷歌发布了一篇技术文章，描述了Scattered Spider攻击的各个阶段，解释了为什么它是有效的，并提供了公司可以采取的措施，以便在早期阶段检测到漏洞。

建议的措施可归纳为三个主要方面：

·使用execinstalldonly、虚拟机加密和禁用SSH锁定vSphere。避免ESXi上的AD直接连接，删除孤立虚拟机，执行严格的MFA和访问策略。持续监控配置漂移。

·跨VPN、AD和vCenter使用防网络钓鱼的MFA。隔离Tier 0资产（数据中心、备份、PAM），避免将它们托管在它们所保护的相同基础设施上。考虑单独的云idp来打破AD依赖。

·将日志集中在SIEM中，并对关键行为（如管理员组更改、vCenter登录和启用SSH）进行警报。使用不可变的气隙备份和针对管理程序层攻击的测试恢复。

Scattered Spider（也被称为UNC3944， Octo Tempest，0ktapus）是一个以经济为动机的威胁组织，专门从事社会工程，它最近加强了对英国大型零售公司、航空公司和运输实体以及保险公司的攻击活动。尽管英国国家犯罪局逮捕了该组织的4名疑似成员，但源自其他集群的恶意活动并没有消退，安全研究人员建议人们应该继续保持谨慎。