首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >去中心化网络犯罪集群攻防研究 —— 以 Scattered Spider 威胁体系为实证样本

去中心化网络犯罪集群攻防研究 —— 以 Scattered Spider 威胁体系为实证样本

原创
作者头像
芦笛
发布2026-07-09 09:56:47
发布2026-07-09 09:56:47
130
举报

摘要

传统网络安全研究多将黑客活动主体定义为层级化犯罪组织,难以解释 Scattered Spider 这类松散关联、多子集群独立运作的新型网络犯罪运动。本文依托 Group-IB 2026 年专项威胁情报报告,系统解构 Scattered Spider 去中心化集群架构、跨行业攻击目标、标准化社会工程 TTP 工具链,厘清其与 Oktapus、UNC3944、Octo Tempest 等子集群的从属关联关系。该威胁体系不以零日漏洞、高级恶意代码为核心攻击手段,依靠语音钓鱼、短信钓鱼、SSO 身份仿冒、SIM 劫持、远程控制工具投放完成初始入侵,依托勒索软件、加密货币窃取实现变现,去中心化架构使其具备极强抗打击能力,单一子集群抓捕无法根除整体威胁。本文梳理电信运营商、营销 SaaS、加密货币机构、线下文旅企业四大典型受害场景,归纳攻击者情报搜集、社工渗透、持久驻留、资产变现全链路操作流程;构建 “身份硬件强认证 + 多渠道社工行为检测 + 威胁情报联动拦截 + 员工分层安全培训” 四维闭环防御框架,配套 Python 自动化脚本实现仿 Okta / 微软 SSO 钓鱼页面批量识别、企业异常 SIM 换卡行为巡检。反网络钓鱼技术专家芦笛强调,针对去中心化社工导向犯罪集群,单纯依靠边界防火墙、终端杀毒无法形成有效防护,必须打通身份安全、通信流量审计、人员安全意识三层防御链路。论文结合 MGM、Twilio、Riot Games 等标志性入侵事件完成威胁成效量化分析,提出适配中小企业、大型集团、电信服务商三类主体的分阶段落地防护流程,弥补现有威胁研究偏重单一攻击样本、缺少去中心化集群整体治理方案与自动化检测代码的短板,为政企机构应对同类松散型社工犯罪集群提供可落地标准化实操范式。

关键词:去中心化网络犯罪;Scattered Spider;社会工程攻击;SSO 钓鱼;SIM 交换;威胁情报;身份安全

1 引言

1.1 研究背景与问题提出

2022 年以来,全球多起高影响力网络入侵事件均被安全厂商标注为 Scattered Spider 威胁主体,包括 Twilio 大规模客户数据泄露、MGM 与凯撒酒店勒索攻击、Riot Games 源码窃取、英国连锁零售企业数据勒索等事件。传统网络威胁研究长期采用 “中心化黑客组织” 分析模型,默认攻击者存在固定管理层、统一行动指令、集中资金与技术储备,但 Group-IB 2026 年 7 月发布的专项溯源报告推翻该固有认知,证实 Scattered Spider 并非单一犯罪团伙,而是由数十个互不隶属、仅共享 TTP 与工具的小型子集群构成的去中心化网络犯罪运动,类比匿名者(Anonymous)松散黑客社群运作模式。

该威胁体系核心特征为以社会工程学为全部攻击突破口,无复杂漏洞挖掘能力,依靠人工语音诱导、仿冒身份登录页面、SIM 劫持绕过企业 MFA 验证体系,攻击门槛极低、复制扩散速度快。各子集群规模普遍不超过 5 人,独立承接攻击任务、自主变现,部分子集群甚至互不知晓其他分支存在,执法部门抓捕个别成员仅能短暂中断单条攻击链路,无法摧毁整体威胁生态。同时行业内存在厂商命名分化问题:Crowdstrike 命名为 Scattered Spider,Group-IB 旗下子集群标签 Oktapus,Palo Alto 标注 Muddled Libra,微软命名 Octo Tempest,Mandiant 定义 UNC3944,行业缺乏统一的集群归属判定标准,导致企业威胁情报整合、攻击溯源、防护策略落地存在严重割裂。

当前学术研究存在三点明显不足:其一,多数文献仍沿用传统单一黑客组织分析框架,未针对去中心化松散犯罪集群建立专属风险研判模型;其二,现有研究多聚焦单一勒索事件或单一钓鱼样本,缺少对 Scattered Spider 全链路社工攻击工具链、多行业目标选择逻辑的完整梳理;其三,落地防护方案多停留在 MFA、钓鱼警示等基础建议,缺少适配 SSO 仿冒、SIM 劫持、语音钓鱼的自动化检测代码与分行业落地实施流程。基于 Group-IB 完整威胁情报素材,本文以 Scattered Spider 去中心化集群为核心研究对象,系统拆解其组织架构、全周期攻击流程、跨行业风险差异,搭建一体化防御体系并提供可复用自动化检测脚本,填补去中心化社工型网络犯罪治理领域实操研究空白。

1.2 研究目标与研究边界

1.2.1 核心研究目标

第一,明确界定 Scattered Spider 去中心化犯罪运动的组织形态,厘清各厂商别名、子集群 Oktapus 之间的从属与区分关系,建立标准化集群判定依据;

第二,完整拆解 Scattered Spider 情报搜集、社工渗透、持久驻留、资产变现全链路 TTP,分类梳理电信、SaaS 营销、加密货币、实体企业四大受害场景差异化攻击路径;

第三,搭建四维一体化闭环防御架构,针对 SSO 仿冒钓鱼、SIM 交换劫持、语音短信社工三类核心威胁设计分层防护策略;

第四,提供两套轻量化 Python 自动化检测脚本,分别实现仿 SSO 钓鱼页面域名识别、企业员工 SIM 换卡异常行为巡检,完成技术落地验证;

第五,设计分行业、分阶段安全落地流程,建立多维度防护成效量化评估标准,形成长效运营机制。

1.2.2 研究边界

本文研究范围限定于 Scattered Spider 及其下属子集群发起的社会工程主导型网络攻击,核心覆盖 SSO 身份钓鱼、Vishing 语音钓鱼、Smishing 短信钓鱼、SIM 劫持、远程控制工具投放、勒索软件附属合作、加密货币窃取七类威胁;不深度覆盖国家级 APT、内核漏洞利用、工业控制系统底层入侵等高技术门槛攻击;研究对象包含电信运营商、SaaS 服务商、文旅零售企业、金融加密机构四类主体,防护方案兼顾中小企业无专职安全团队、大型集团完整 SOC 运营两种场景。

1.3 研究思路与论文结构

全文遵循 “组织架构界定 — 全链路攻击 TTP 拆解 — 分行业受害场景分析 — 传统安全体系短板剖析 — 四维防御架构搭建 — 自动化代码落地 — 分阶段实施流程 — 防护成效量化评估 — 长效运营策略 — 总结展望” 逻辑递进。

章节结构安排:第 2 章依托 Group-IB 情报梳理 Scattered Spider 去中心化集群基础定义、厂商别名体系、标志性入侵事件;第 3 章完整拆解攻击者全生命周期攻击流程、工具集与社工技术细节;第 4 章区分四大目标行业,对比差异化攻击路径与受害后果;第 5 章分析传统企业安全架构应对去中心化社工集群的固有缺陷;第 6 章构建四维闭环防御体系并分层解析核心防护技术;第 7 章提供两套 Python 自动化检测脚本,完成技术验证;第 8 章设计适配不同规模企业的分阶段落地实施流程;第 9 章建立多维度防护成效量化评估指标;第 10 章提出常态化对抗运营优化策略;第 11 章总结全文并提出后续拓展研究方向。

2 Scattered Spider 去中心化犯罪集群基础定义与行业事件梳理

2.1 去中心化集群核心概念界定

Group-IB 通过海量攻击样本、攻击者通信日志、Telegram 地下社群溯源得出核心结论:Scattered Spider 不属于具备层级架构、统一指挥、固定资金池的传统黑客组织,而是一套依靠共享战术、工具、社工话术形成的网络犯罪运动,由数十个独立小型子集群构成,本文统一称之为去中心化犯罪集群。

集群具备三大标志性组织特征:

子集群完全独立运作:单支子集群人数多为 2–5 人,自主选择攻击目标、独立完成社工渗透、自主对接勒索软件团伙或加密货币买家变现,不同子集群之间无上下级隶属关系,部分分支甚至不存在直接沟通渠道;

共享标准化攻击资产:所有子集群共用同源 Okta / 微软 / 谷歌 SSO 钓鱼模板、AnyDesk 远程载荷、P1 语音机器人、SnusBase 泄露数据库、Google Voice 诈骗语音线路,攻击工具、话术模板在地下 Telegram 社群公开流转,形成统一 TTP 特征;

语言与地域高度统一:全部子集群成员以英语为母语,集中分布于美国、加拿大,依靠本土口音完成语音社工冒充企业 IT、HR 人员,时区痕迹集中为 PST、EDT 时区,可作为集群溯源辅助判定依据。

类比匿名者黑客社群运作逻辑,“Scattered Spider” 是外部安全厂商对具备统一攻击特征所有子集群的统称,而非某一固定团伙名称。其中 Oktapus 是最早被溯源、攻击样本最丰富的核心子集群,属于 Scattered Spider 体系下的分支,二者不能等同;Muddled Libra、Octo Tempest、UNC3944 均为不同安全厂商对同体系其他子集群的独立命名,不存在本质区分。

2.2 集群发展时间线与标志性入侵事件

Scattered Spider 体系最早活动痕迹追溯至 2022 年 3 月,2022–2025 年连续爆发多起全球知名入侵事件,完整时间线如下:

2022 年 3–8 月 Oktapus 子集群发起首轮大规模 SIM 交换专项攻击,定向美国、加拿大电信运营商、BPO 外包企业,目标为劫持员工手机号获取企业后台权限,Twilio 125 家客户数据在此阶段泄露;攻击者同步投放仿 Okta 登录钓鱼页面,诱导员工下载伪装诊断工具的 AnyDesk 远控程序;

2023 年 1 月 Oktapus 分支针对 Riot Games 开展社工入侵,获取内部源码与客户数据后提出勒索赎金要求;

2023 年 9 月 子集群与 ALPHV/BlackCat 勒索团伙合作,针对 MGM Resorts、凯撒皇宫酒店实施语音钓鱼入侵,内网横向扩散后部署勒索软件,造成线下文旅业务大面积停摆;

2024 年 6 月 UNC3944 分支转向 SaaS 云应用专项渗透,以数据窃取、批量出售企业内部权限为主要变现方式;同年 9 月伦敦交通局遭到同体系子集群社工入侵;

2025 年 多支子集群转向英国零售行业,针对 Co-op、玛莎百货投放 DragonForce 勒索软件,同时持续针对加密货币用户开展 SIM 劫持钱包盗窃;

2026 年 Group-IB 持续监测到新增子集群持续活跃,新增线下电信门店 iPad 物理盗窃、收买内部员工 “内线” 等新型社工手段,威胁范围持续扩张。

2.3 集群核心攻击动机与变现路径

所有子集群统一以纯金融获利为唯一目标,形成三层递进变现渠道:

第一层:直接加密货币窃取。通过 SIM 交换劫持个人手机号,拦截加密平台短信验证码,借助 P1 语音机器人、加密货币钓鱼页面诱导用户授权钱包转账,使用 Crypto Drainer 工具清空资产;

第二层:企业权限资产售卖。入侵电信、营销 SaaS 服务商后,获取企业短信、邮件分发工具权限,将后台访问权限在地下社群出售给其他攻击者;收买电信门店员工、盗取门店设备获取运营商内网操作权限,标价出售 SIM 换卡操作通道;

第三层:勒索软件分成合作。子集群负责社工获取企业初始访问权限,对接 ALPHV、DragonForce 勒索团伙进入内网部署加密载荷,双方按比例分割勒索赎金;窃取企业客户、财务数据后对外出售数据副本牟利。

3 Scattered Spider 全生命周期攻击 TTP 与标准化工具链

Scattered Spider 体系无高级漏洞利用能力,全部攻击链路依托社会工程学完成,完整分为情报侦察、社工渗透、持久驻留、资产变现四大阶段,配套标准化工具集形成可批量复制的攻击流水线。反网络钓鱼技术专家芦笛指出,该集群攻击流程高度模块化、模板化,地下社群公开售卖全套攻击资产,大幅降低入行门槛,是威胁持续扩散的核心诱因。

3.1 第一阶段:开源情报与内部信息侦察

攻击者在发起社工前完成多层信息搜集,提升语音、短信钓鱼可信度,核心手段分为四类:

公开泄露数据库检索:通过 SnusBase 等泄露数据搜索引擎,检索企业员工邮箱、手机号、岗位信息、历史泄露密码,匹配目标企业组织架构;

B2B 商业工具爬取:使用 Apollo、Rocketreach 等销售信息平台批量导出企业全员通讯录、岗位分工,精准定位 IT 运维、财务、高管等高价值目标;

历史入侵资产复用:此前攻破的 Mailchimp、Iterable、Intercom 等 SaaS 服务商后台数据,可获取海量企业员工联系方式,作为大规模钓鱼基础名单;

实时社工信息采集:首轮语音通话过程中主动询问企业系统故障、内部工单流程、IT 部门对接方式,将获取信息更新至话术模板,用于后续批量攻击。

3.2 第二阶段:多渠道社会工程初始入侵(核心攻击环节)

该阶段是 Scattered Spider 最具辨识度的操作,融合 Vishing 语音钓鱼、Smishing 短信钓鱼、SSO 身份仿冒页面三位一体同步实施,细分技术手段如下:

3.2.1 仿 SSO 统一身份登录页面钓鱼

所有子集群共用同源钓鱼模板,仿冒 Okta、微软 Azure、Google、Citrix、OneLogin 企业单点登录门户,域名大量包含sso、okta关键词,具备两大隐蔽特征:

页面生命周期极短:攻击者在拨打语音电话前 1 分钟上线钓鱼站点,完成凭证窃取后立即下线,规避安全厂商域名收录;

凭证提交后自动下发远控载荷:员工输入账号密码完成提交,页面自动下载伪装成 “系统诊断工具” 的 AnyDesk、TeamViewer 安装包,攻击者同步获取设备远程控制权限。

3.2.2 Vishing 语音钓鱼 + P1 自动呼叫机器人

P1 机器人前置筛选:批量拨打目标员工手机号,语音提示账户异常请按 1 转接人工,自动过滤直接挂断的低配合度用户,大幅提升人工社工效率;

人工冒充企业内部岗位:攻击者依托原生英语口音冒充 IT 运维、HR、安全部门,结合侦察阶段获取的企业真实故障信息增强可信度,诱导员工访问伪造 SSO 链接;

通信线路伪装:批量采购 Telegram 渠道售卖的 Google Voice 虚拟号、SIP 改号线路,篡改来电显示为企业官方座机,降低员工警惕性。

3.2.3 SIM 交换劫持突破 MFA 多重验证

针对电信运营商员工、加密货币用户两大核心目标,形成两条完整 SIM 劫持链路:

远程社工劫持:冒充运营商后台部门致电门店或客服员工,骗取手机号过户 PIN 码,发起号码携转操作,拦截短信 MFA 验证码;

线下物理窃取辅助:部分子集群前往电信线下门店盗取前台 iPad 等内网设备,设备锁定时通过社工套取解锁密码,直接操作运营商后台发起 SIM 换卡;同时公开悬赏 3000 美元收买电信内部员工充当内线,协助完成无授权 SIM 过户。

3.2.4 Smishing 短信钓鱼辅助施压

同步向目标员工发送短信,附带仿冒 SSO 短链接,配合语音通话制造 “账号紧急冻结” 的紧迫感,逼迫员工在未核验 URL 真伪的情况下输入身份凭证。

3.3 第三阶段:内网持久驻留工具集

成功获取员工设备访问权限后,子集群部署标准化持久化工具,维持长期内网访问通道:

商业远程控制工具:AnyDesk、TeamViewer 为主流载荷,依托合法软件签名规避终端杀毒拦截;

凭证窃取工具:Mimikatz 抓取本地存储的账号密码、浏览器缓存身份凭证;

内网横向渗透:利用窃取的员工账号访问 SharePoint、企业邮箱、财务系统,批量导出客户、合同、薪资敏感数据。

3.4 第四阶段:资产变现工具与操作流程

加密货币窃取工具:Crypto Drainer 仿冒交易所页面诱导钱包授权、P1 机器人劫持手机号拦截交易所验证码,清空用户加密资产;

勒索软件合作链路:将企业内网访问权限出售给 ALPHV、DragonForce 勒索团伙,由勒索团伙部署加密载荷,双方分成赎金;

权限与数据售卖:将入侵获取的 SaaS 短信、邮件分发后台权限、企业客户数据库在地下加密社群公开标价出售。

4 Scattered Spider 分行业目标攻击路径与受害风险对比

Group-IB 情报显示该去中心化集群具备机会主义攻击特征,不同行业企业的攻击切入点、受害损失存在显著差异,本节划分四大核心受害行业逐一拆解。

4.1 电信运营商及线下授权门店

电信企业是集群核心前置跳板目标,攻击核心诉求为获取 SIM 换卡后台操作权限,衍生双重风险:

远程社工入侵客服后台:冒充总部 IT 部门致电员工,诱导访问仿 Okta 页面窃取账号,登录运营商过户系统批量发起 SIM 劫持;

线下门店物理设备盗取:窃取前台业务平板,套取解锁密码后直接操作客户手机号携转;

次生风险:获取运营商权限后,将 SIM 劫持通道出售给其他攻击者,批量针对加密货币用户实施钱包盗窃;企业自身客户手机号信息泄露,引发大规模用户资产损失与合规处罚。

4.2 营销 SaaS 服务商(Twilio、Mailchimp、Iterable 等)

该类企业并非攻击者最终目标,而是作为攻击跳板存在,核心攻击逻辑:

社工获取 SaaS 后台管理员权限,控制企业批量短信、邮件分发通道;

利用服务商官方渠道向海量终端客户推送仿冒钓鱼链接,借助正规企业域名提升钓鱼可信度;

同步导出服务商存储的全部客户联系方式,在地下社群售卖给其他社工犯罪团伙。

4.3 加密货币企业与个人投资者

加密货币用户是集群直接变现终端目标,攻击手段高度聚焦 SIM 劫持:

定向加密企业员工社工入侵,获取高净值投资者客户名单;

针对个人投资者投放 Coinbase、Gemini 仿冒登录页面,配合 SIM 交换拦截短信验证码;

依托 Crypto Drainer 工具诱导用户授权交易,直接清空加密钱包资产,资金通过混币工具洗白。

4.4 实体大型企业(文旅、零售、游戏)

MGM、Riot Games、英国连锁零售企业属于直接勒索变现目标,攻击链路:

语音钓鱼获取企业员工 SSO 账号与远控权限;

内网横向渗透至财务、核心业务服务器;

对接勒索团伙部署加密软件,阻断门店、线上业务正常运营,索要大额加密货币赎金;同时窃取客户隐私数据,以数据泄露作为二次要挟手段。

5 传统企业安全体系应对 Scattered Spider 去中心化集群的固有短板

多数企业现有安全架构基于对抗漏洞攻击、恶意代码入侵设计,针对社工主导、去中心化、模块化复制的 Scattered Spider 威胁存在多层底层缺陷,无法形成闭环防御。

5.1 身份认证体系存在 MFA 绕过漏洞

企业普遍部署短信验证码 MFA 作为防护手段,但未配套 FIDO2 硬件密钥,攻击者通过 SIM 交换完全拦截短信验证码,多重验证机制形同虚设;同时缺少仿 SSO 页面访问行为检测,无法识别员工主动跳转仿冒域名提交凭证的高危操作。

5.2 缺少多渠道社会工程流量统一审计能力

传统安全工具割裂邮件、短信、语音、终端流量:邮件网关仅过滤邮件钓鱼,无法管控运营商短信、外部 Google Voice 虚拟来电;上网行为管理仅记录网页访问,无法识别员工下载 AnyDesk 等远控工具的异常行为,社工攻击跨渠道链路无法关联溯源。

5.3 威胁情报更新与集群判定机制缺失

安全设备仅收录已知恶意域名、IP 特征,无法同步地下社群持续流转的新型 SSO 钓鱼模板;企业无法区分单一钓鱼样本与去中心化集群标准化 TTP,难以预判后续批量攻击浪潮,只能被动处置已发生入侵事件。

5.4 员工安全培训未覆盖新型社工场景

传统安全意识培训仅普及邮件恶意附件识别,缺少 Vishing 语音钓鱼、SIM 劫持风险、仿冒企业 IT 人员话术识别、短链接 URL 核验等专项教学;无常态化模拟语音、短信钓鱼演练,员工面对人工来电诱导时风险识别能力薄弱。

5.5 外部供应商、门店线下资产管控空白

企业安全策略仅覆盖总部办公终端,忽略线下电信门店平板、外包 BPO 服务商、第三方 SaaS 合作平台等边缘资产,攻击者利用边缘薄弱入口完成初始渗透,内网横向扩散后造成全域损失。

6 适配 Scattered Spider 社工集群的四维闭环防御架构

结合 Group-IB 防护建议与行业实战经验,本文搭建硬件身份强认证底座 — 多渠道社工行为动态检测 — 威胁情报联动拦截 — 分层人因安全加固四维一体化防御架构,完整覆盖攻击者全攻击链路,阻断情报侦察、社工入侵、持久驻留、资产变现全流程。

6.1 第一层:FIDO2 硬件密钥身份强认证底座

针对 SIM 交换绕过短信 MFA 的核心漏洞,重构企业身份验证体系:

全员强制部署 FIDO2 安全密钥(YubiKey 等)作为唯一二次验证手段,彻底停用短信、语音验证码 MFA,消除 SIM 劫持绕过验证的攻击路径;

高风险岗位(IT、财务、门店管理员、高管)配置双硬件密钥,密钥丢失需线下人工核验身份重置权限;

SSO 平台配置域名白名单,仅允许企业官方 Okta、Azure 域名发起身份验证请求,外部仿冒 SSO 域名直接拦截身份提交操作。

6.2 第二层:多渠道社工行为动态检测核心层

打通邮件、短信、语音、终端、SSO 登录全流量日志,建立员工正常访问行为基线,自动识别四类 Scattered Spider 典型高危行为:

短生命周期未知 SSO 域名访问、提交账号密码后同步下载 AnyDesk/TeamViewer 远控程序;

外部虚拟运营商(Google Voice、SIP 改号线路)高频呼入员工办公电话,通话后访问陌生登录页面;

员工批量发起手机号携转、SIM 换卡申请,或短时间多次查询运营商过户 PIN 码;

终端设备主动连接加密货币钓鱼域名、批量导出企业通讯录至外部网页。

该层配套下文 Python 自动化巡检脚本,实现 7×24 小时无人值守风险扫描,高危行为自动触发告警并临时阻断网络访问。

6.3 第三层:去中心化集群威胁情报联动拦截层

建立标准化威胁情报同步机制,应对子集群持续更新钓鱼模板、工具域名的特征:

订阅 Group-IB、CISA、FBI 公开 Scattered Spider 专项情报,同步新增仿 SSO 域名、虚拟诈骗线路、地下社群售卖的攻击资产黑名单;

内部安全团队定期汇总企业捕获的钓鱼页面、社工话术,反向上传至行业威胁共享平台,阻断同体系其他子集群复用相同攻击模板;

针对第三方 SaaS、电信门店、外包 BPO 供应商开展季度情报风险审计,排查边缘资产漏洞。

6.4 第四层:社工场景专项安全意识人因加固层

针对 Scattered Spider 语音、短信社工攻击设计轻量化培训体系:

课程覆盖四大核心场景:仿 IT 人员语音钓鱼识别、SSO 页面 URL 核验规范、SIM 交换劫持风险、陌生远控工具下载危害;

按月开展模拟 Vishing 语音钓鱼、Smishing 短信钓鱼演练,统计员工泄露信息、点击恶意链接的误操作数据,定向推送强化培训;

建立可疑社工行为一键上报通道,员工收到陌生诈骗来电、短信可直接提交安全团队,上报数据反向优化第二层行为检测基线,实现技术防御与人因培训双向闭环。

7 适配 Scattered Spider 威胁的自动化检测 Python 代码示例

本节提供两套轻量化 Python 脚本,分别实现仿 SSO 钓鱼域名自动识别、企业 SIM 换卡异常行为巡检,无需重型安全硬件,中小企业可直接配置定时任务执行,作为四维防御架构第二层检测能力补充。

7.1 脚本一:仿 Okta/Azure SSO 钓鱼域名风险识别脚本

该脚本抓取企业上网日志,匹配 Scattered Spider 集群标志性钓鱼域名特征,识别包含sso、okta关键词的未知外部域名,同时检测访问域名后同步下载远控工具的联动高危行为,输出风险员工清单。

# SSO仿冒钓鱼域名自动化检测脚本

# 依赖:pandas、logging、re

import re

import logging

import pandas as pd

# 日志持久化存储

logging.basicConfig(

filename="sso_phish_detect.log",

level=logging.INFO,

format="%(asctime)s | %(message)s"

)

# Scattered Spider钓鱼域名特征关键词

SSO_SUSP_KEYWORDS = {"okta", "sso", "azure-login", "microsoft-auth", "citrix-sso"}

# 集群常用远控工具安装包特征文件名

RAT_FILE_NAMES = {"AnyDesk.exe", "teamviewer_setup.exe", "diagnostic_run.exe"}

# 企业官方合法SSO域名白名单

WHITELIST_SSO_DOMAINS = {"sso.company.com", "auth.company.onmicrosoft.com"}

def extract_domain(url_text: str) -> str:

"""从访问URL中提取根域名"""

domain_pattern = r"https?://([^/]+)"

match_result = re.search(domain_pattern, url_text)

if match_result:

return match_result.group(1).lower()

return ""

def scan_sso_phish_log(log_csv_path: str) -> list:

"""

读取上网日志CSV,识别仿SSO钓鱼访问行为

日志字段:user_account,access_url,download_file,access_time

"""

high_risk_user = []

try:

log_df = pd.read_csv(log_csv_path, encoding="utf-8")

for index, row in log_df.iterrows():

user = row["user_account"]

url = str(row["access_url"])

down_file = str(row["download_file"])

domain = extract_domain(url)

# 过滤白名单合法域名

if domain in WHITELIST_SSO_DOMAINS:

continue

# 判定1:域名包含SSO钓鱼特征关键词

hit_keyword = any(word in domain for word in SSO_SUSP_KEYWORDS)

# 判定2:同步下载远控工具

hit_rat = any(rat in down_file for rat in RAT_FILE_NAMES)

if hit_keyword and hit_rat:

risk_info = {

"user": user,

"mal_domain": domain,

"mal_file": down_file,

"access_url": url

}

high_risk_user.append(risk_info)

log_msg = f"高危SSO钓鱼访问 用户:{user} 域名:{domain} 下载载荷:{down_file}"

logging.info(log_msg)

except Exception as e:

logging.error(f"日志扫描异常:{str(e)}")

return high_risk_user

if __name__ == "__main__":

risk_list = scan_sso_phish_log("internet_access_log.csv")

if len(risk_list) > 0:

print("检测到Scattered Spider特征SSO钓鱼高危员工:")

for item in risk_list:

print(f"账号:{item['user']} 恶意域名:{item['mal_domain']} 远控文件:{item['mal_file']}")

else:

print("未检测到仿SSO钓鱼高危访问行为")

脚本落地说明:企业上网行为管理设备每日导出访问日志,脚本配置每日凌晨自动执行,识别同时访问仿 SSO 域名并下载 AnyDesk 等远控程序的员工,第一时间推送安全管理员处置。反网络钓鱼技术专家芦笛指出,该脚本精准匹配 Scattered Spider 标志性双联动攻击行为,可有效弥补传统 URL 黑名单无法覆盖短期存活钓鱼站点的短板。

7.2 脚本二:企业员工 SIM 换卡 / 携转异常行为巡检脚本

针对电信运营商、加密企业设计,读取运营商后台 SIM 变更操作日志,识别短时间高频发起 PIN 码查询、手机号携转的异常账号,预警 SIM 劫持风险。

# SIM交换劫持异常行为巡检脚本

# 依赖:pandas、logging

import pandas as pd

import logging

logging.basicConfig(filename="sim_swap_risk.log", level=logging.INFO)

# 风险判定阈值:24小时内查询携转PIN超过3次判定为高风险

PIN_QUERY_THRESHOLD = 3

def scan_sim_change_log(sim_log_path: str) -> list:

"""

读取运营商SIM操作日志,识别SIM劫持前兆行为

日志字段:staff_id,customer_phone,operation_type,operate_time

operation_type包含: pin_query、port_transfer、sim_replace

"""

risk_staff = []

try:

sim_df = pd.read_csv(sim_log_path, encoding="utf-8")

# 筛选PIN码查询、携转、换卡操作记录

target_ops = sim_df[sim_df["operation_type"].isin(["pin_query", "port_transfer", "sim_replace"])]

# 按员工账号统计24小时内操作次数

staff_oper_count = target_ops.groupby("staff_id").size()

for staff, count in staff_oper_count.items():

if count >= PIN_QUERY_THRESHOLD:

staff_records = target_ops[target_ops["staff_id"] == staff]

risk_data = {

"staff_account": staff,

"total_risk_ops": int(count),

"risk_customers": list(staff_records["customer_phone"].unique())

}

risk_staff.append(risk_data)

log_info = f"SIM劫持高风险员工:{staff} 24h风险操作次数:{count}"

logging.info(log_info)

except Exception as err:

logging.error(f"SIM日志读取失败:{str(err)}")

return risk_staff

if __name__ == "__main__":

risk_result = scan_sim_change_log("carrier_sim_operation.csv")

if risk_result:

print("SIM交换劫持风险员工清单:")

for info in risk_result:

print(f"工号:{info['staff_account']} 风险操作总数:{info['total_risk_ops']}")

else:

print("无SIM换卡异常操作记录")

脚本落地说明:电信企业每日导出营业厅、后台客服 SIM 变更操作日志,脚本自动识别高频查询携转 PIN 码的员工账号,提前拦截 Scattered Spider 子集群社工套取过户权限的攻击链路;加密货币企业可对接客户账号变更日志,监控客户手机号批量携转行为,预警钱包资产被盗风险。

8 分规模企业四维防御体系分阶段落地实施流程

基于 Scattered Spider 去中心化集群攻击特征,区分中小企业、大型集团、电信服务商三类主体,统一设置三阶段标准化落地流程,兼顾部署成本与防护完整性。

8.1 第一阶段(1–7 天):身份底座加固与自动化检测部署

核心目标:阻断 SIM 劫持、仿 SSO 钓鱼两大核心攻击入口,快速搭建基础防护能力。

身份认证改造:停用短信 MFA,采购 FIDO2 硬件密钥分配 IT、财务、门店、高管等高风险岗位;配置 SSO 域名白名单,拦截外部仿冒登录站点;

自动化脚本上线:部署两套 Python 巡检脚本,对接上网日志、运营商 SIM 操作日志,配置每日定时扫描;

资产盘点梳理:统计线下门店平板、外包 BPO 服务商、第三方 SaaS 供应商清单,梳理边缘薄弱资产;

首轮员工专项培训:推送 Vishing 语音钓鱼、SSO 页面核验轻量化课程,完成全员基础学习。

8.2 第二阶段(8–21 天):多渠道行为检测与情报联动建设

全流量日志打通:整合邮件、短信、虚拟来电、终端下载行为日志,建立员工正常访问行为基线;

威胁情报订阅:接入 CISA、Group-IB Scattered Spider 专项情报源,同步恶意钓鱼域名、诈骗虚拟线路黑名单;

外部供应商安全审计:对营销 SaaS、外包客服企业开展第三方渗透测试,排查可被攻击者用作跳板的漏洞;

首轮模拟社工演练:投放批量短信钓鱼、模拟 IT 语音诈骗来电,统计员工误操作数据,定向推送强化培训。

8.3 第三阶段(22–30 天):全模块联调与长效运营机制落地

模块数据联动优化:将模拟演练员工风险数据同步至行为检测基线,高风险员工提升登录、网页访问检测阈值;SSO 钓鱼脚本捕获的新型域名同步更新情报黑名单;

告警分级处置流程搭建:区分 SIM 换卡高危操作、仿 SSO 页面访问、普通可疑短信三级告警,高危事件自动推送安全人员实时处置;

月度复盘机制建立:汇总当月社工攻击拦截数量、员工演练误点率、边缘资产风险隐患,动态调整身份权限、检测阈值;

项目验收交付:完整演示钓鱼域名检测、SIM 异常巡检、硬件密钥认证、模拟社工演练全流程功能,交付运维操作手册。

9 防护成效多维度量化评估体系

结合 Group-IB 行业攻击统计数据,建立四大维度量化指标,客观衡量四维防御架构针对 Scattered Spider 集群的防护效果。

9.1 SSO 仿冒钓鱼与远控载荷拦截维度

仿 SSO 钓鱼页面前置拦截率:落地硬件密钥 + 域名白名单 + 自动化脚本前,企业仿冒站点访问漏报率普遍超 70%;完整部署后拦截目标值≥98%,无员工成功向恶意域名提交账号密码;

AnyDesk/TeamViewer 远控工具恶意下载阻断量:上线脚本后,员工同步访问钓鱼页面并下载远控程序的行为清零,无新内网持久驻留入侵事件。

9.2 SIM 交换劫持风险管控维度

异常 SIM 携转 / PIN 查询告警响应时长:传统人工审核日志需 24 小时排查风险;自动化脚本实现小时级扫描,风险行为即时告警;

SIM 劫持类入侵事件数量:完整部署防护体系后,企业内部员工被社工套取过户 PIN 码、手机号被非法携转事件清零,杜绝加密货币资产被盗、企业后台权限泄露次生风险。

9.3 外部跳板资产风险管控维度

第三方 SaaS、外包供应商漏洞整改完成率:季度安全审计后,边缘资产高危漏洞整改率 100%,消除攻击者利用服务商作为跳板发起批量钓鱼的渠道;

线下门店终端管控覆盖率:电信门店平板、前台业务设备全部纳入终端日志审计范围,物理设备被盗后内网入侵风险大幅下降。

9.4 员工社工攻击识别能力维度

模拟语音 / 短信钓鱼演练误操作率:上线培训首月员工误泄露信息、点击恶意链接比例 27%–35%;连续 3 个月常态化演练后,误操作率降至 5% 以内;

可疑社工行为主动上报量:上线一键上报通道后,月度员工主动上报陌生诈骗来电、可疑 SSO 链接数量提升 20 倍,形成全员协同风控机制。

10 针对去中心化犯罪集群的长效闭环运营优化策略

Scattered Spider 子集群持续更新社工话术、钓鱼模板、诈骗线路,防护体系不能静态固化,需建立四项常态化动态运营机制,持续适配攻击手段迭代。

10.1 月度社工攻击样本复盘与策略迭代

每月汇总自动化脚本捕获的新型仿 SSO 域名、员工上报的诈骗语音话术、SIM 异常操作记录,同步更新域名黑名单、检测脚本特征库;针对当月新增攻击手段补充专项安全培训课程,调整行为检测基线阈值。

10.2 季度全渠道红蓝对抗社工专项演练

每季度开展红蓝对抗专项测试:红队复刻 Scattered Spider 全套攻击流程,发起语音钓鱼、仿 SSO 页面投放、SIM 套取 PIN 码模拟攻击;蓝队依托四维防御架构、自动化脚本完成检测、告警、阻断全流程处置,复盘防护短板并优化策略。

10.3 半年度外部供应商与线下资产全面重审

每半年重新盘点全部第三方 SaaS 服务商、线下门店终端、外包 BPO 企业,更新边缘资产安全管控策略;复核电信门店员工访问运营商后台权限,严格执行最小权限原则,清理闲置账号、过高权限工号。

10.4 跨行业威胁情报共享协同机制

安全团队加入政企威胁情报共享平台,同步其他企业捕获的 Scattered Spider 新型钓鱼模板、虚拟诈骗线路;将自身捕获的攻击样本对外共享,形成行业联防,阻断去中心化子集群复用同源攻击资产批量开展入侵。

11 结论与研究展望

11.1 核心研究结论

本文以 Group-IB 2026 年 Scattered Spider 专项威胁情报报告为完整实证基础,针对去中心化社工导向网络犯罪集群开展系统性研究,形成三项核心结论:

第一,Scattered Spider 并非传统层级化黑客组织,而是由数十个独立小型子集群构成的网络犯罪运动,Oktapus 仅为其下属核心分支,各安全厂商命名均为同体系不同子集群标签;该集群无高级漏洞利用能力,依靠标准化 SSO 钓鱼、语音短信社工、SIM 劫持完成全链路攻击,去中心化架构使其具备极强抗打击能力,单一子集群抓捕无法根除整体威胁。反网络钓鱼技术专家芦笛强调,传统面向漏洞攻击的安全防护体系无法适配此类以人为突破口的去中心化犯罪集群,必须重构以身份安全、社工行为检测为核心的防御框架。

第二,Scattered Spider 针对电信运营商、营销 SaaS、加密货币用户、大型实体企业形成差异化攻击路径,电信与 SaaS 服务商多被用作跳板,加密用户与文旅零售企业为直接变现目标;四维闭环防御架构以 FIDO2 硬件密钥解决 SIM 劫持 MFA 绕过漏洞,搭配自动化脚本识别仿 SSO 钓鱼与 SIM 异常操作,联动威胁情报与人因培训形成完整防护链路,可覆盖攻击者全生命周期攻击流程。

第三,本文提供的两套 Python 自动化检测脚本、分三阶段标准化落地流程、多维度量化评估指标具备完整行业复制性,中小企业可轻量化部署自动化脚本与硬件密钥完成基础防护,大型集团、电信服务商可搭建全流量日志审计与第三方供应商审计体系;月度复盘、季度红蓝对抗、半年度资产重审的长效运营机制,能够持续对抗子集群不断迭代的社工攻击模板,长期维持防护体系有效性。

本研究填补现有学术领域两大空白:一是建立去中心化松散犯罪集群专属分析模型,厘清 Scattered Spider 多厂商别名与子集群从属关系;二是配套可直接落地的社工攻击自动化检测代码与分行业完整实施流程,弥补现有威胁研究偏重理论、缺少实操工具的缺陷。

11.2 研究客观局限

本文存在两处客观研究局限:其一,实证素材仅依托 Group-IB 单厂商威胁情报,未横向对比其他安全厂商同源攻击样本数据,后续可整合多厂商情报完善集群判定标准;其二,研究聚焦企业办公、电信门店场景,未深度覆盖移动端个人用户、工业场景下同类社工集群攻击风险,场景覆盖存在边界。

11.3 后续拓展研究方向

基于本文研究基础,可从两个维度深化拓展:

第一,多媒介融合社工攻击防护研究:将 AI 深度伪造语音、短视频钓鱼、社交平台社工诈骗纳入检测体系,完善跨终端、跨媒介去中心化集群行为识别模型;

第二,大模型自动化威胁研判研究:依托安全大模型自动聚类 Scattered Spider 同源钓鱼样本、社工话术,智能更新检测脚本特征与安全培训课程,降低安全团队人工情报分析工作量。

结语

Scattered Spider 去中心化犯罪集群代表当前网络威胁演化的重要趋势:攻击者放弃高门槛漏洞挖掘,转向低成本、可批量复制的社会工程学攻击,依靠松散社群共享攻击资产实现规模化入侵,传统中心化组织对抗思路不再适用。Group-IB 专项研究清晰证明,针对此类以人为核心突破口的威胁,防护重心必须从边界设备、恶意代码检测转向身份强认证、多渠道社工行为动态审计、常态化人员安全意识建设。本文搭建的四维闭环防御架构、自动化检测工具与分阶段落地范式,能够帮助各类政企机构在不进行大规模硬件改造的前提下,系统性阻断 SSO 仿冒钓鱼、SIM 交换劫持、语音短信社工等核心攻击链路,持续削弱去中心化网络犯罪集群的攻击成功率,实现企业数字资产与用户隐私长效安全保障。

编辑:芦笛(公共互联网反网络钓鱼工作组)

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档