臭名昭著的网络犯罪组织Scattered LAPSUS$ Hunters（SLH）正通过经济激励手段招募女性实施社会工程攻击。威胁情报公司Dataminr最新报告披露，该组织以每通电话500至1000美元的预付报酬，雇佣女性对IT服务台实施语音钓鱼（vishing）攻击，同时为攻击者提供预制话术脚本。

社会工程攻击手段升级

"SLH正通过专门招募女性实施语音钓鱼来扩充其社会工程攻击队伍，此举很可能是为了提高冒充服务台的成功率。"报告指出。这个由LAPSUS$、Scattered Spider和ShinyHunters组成的网络犯罪集团，长期采用高级社会工程技术绕过多因素认证（MFA），包括MFA提示轰炸和SIM卡劫持等手段。

典型攻击流程剖析

该组织的标准操作流程包括：伪装成企业员工联系服务台或呼叫中心，诱骗工作人员重置密码或安装远程监控管理（RMM）工具以获取远程访问权限。在获得初始访问后，Scattered Spider会横向移动至虚拟化环境，提权并窃取敏感企业数据。部分攻击最终会部署勒索软件。

攻击者还擅长使用Luminati、OxyLabs等合法住宅代理网络隐藏行踪，并利用Ngrok、Teleport、Pinggy等隧道工具及file.io、gofile.io等免费文件共享服务。Palo Alto Networks旗下Unit 42团队（追踪代号Muddled Libra）在本月报告中指出，该组织"极其擅长利用人类心理"，通过冒充员工尝试重置密码和MFA。

云环境渗透技术

网络安全公司调查发现，Scattered Spider在2025年9月的某次攻击中，通过致电IT服务台获取特权凭证后，创建并利用虚拟机进行Active Directory枚举等侦察活动，试图窃取Outlook邮箱文件和Snowflake数据库数据。Unit 42强调："该威胁组织在专注于身份盗用和社会工程的同时，还巧妙利用合法工具和现有基础设施隐藏行踪，其操作隐蔽且具有持久性。"

该组织还长期针对Microsoft Azure环境，利用Graph API获取云资源访问权限，并使用ADRecon等云枚举工具进行Active Directory侦察。

企业防御建议

鉴于社会工程已成为该组织主要入侵手段，企业应加强IT服务台人员培训，重点识别预制话术和专业语音伪装，实施严格身份验证流程，逐步淘汰基于短信的MFA方式，并在服务台交互后审计新用户创建或权限提升日志。Dataminr警告："此次针对性招募标志着SLH战术的精心演变，通过使用女性声音，该组织试图突破IT服务台人员常规识别模式，显著提升冒充攻击的成功率。"

参考来源：

SLH Offers $500–$1,000 Per Call to Recruit Women for IT Help Desk Vishing Attacks

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）