欢迎来到公海710 米高梅黑客事件：这次出了什么问题？

米高梅国际酒店集团再次成为另一起重大网络安全黑客攻击的受害者。报告称，黑客组织 Scattered Spider (UNC3944) 似乎与 BlackCat (ALPHAV) 勒索软件组织有关联，已从赌场巨头恶意获取了大约 6 TB 的数据。确切的勒索软件类型仍在争论中，但包括 IBM X-Force 在内的几家备受推崇的网络安全机构声称，此次犯罪中使用了 Sphynx 加密器的变种。有关黑客攻击的完整细节尚未公布，而且可用的内容充其量也是模糊的。然而，有关此次黑客攻击的一些重要细节充分说明了米高梅缺乏事件响应手册和适当减轻网络风险的能力。与 Okta 的 SCIM 协议相关的一系列众所周知的攻击向量，加上社会工程策略以及无效的管理安全实践，导致了 Scattered Spider 的成功攻击。目前，MGM 有超过 100 个 ESXi 虚拟机管理程序被勒索软件锁定，并且还有一个完全受到感染的 Azure 租户。此外，多个具有超级和全局管理权限的恶意帐户在米高梅的域中猖獗。

作为一名经过培训并获得认证的道德黑客，在该领域拥有 10 多年的经验，我参与了多个社会工程活动以及红/蓝/紫团队为各个三字母政府机构（包括 DOD 和 NSA）开展的行动。从个人经验来看，我可以充满信心地说，尽管丰富的安全培训不断淹没我们的思想，但事实证明，漏洞利用和黑客攻击逐年变得更加容易。不幸的是，这并不是米高梅第一次遭遇史诗般的妥协。 2020 年，大约 1.42 亿份米高梅客户相关文件在网上泄露，随后在暗网上以略低于 3,000 美元的价格出售。老狗能学会新把戏吗？接下来的信息将分为两个重要的主要支柱，这两个支柱将对威胁行为者团队所采用的技术、策略和程序 (TTP) 产生重大影响。

社会工程

米高梅的缺点始于一种被称为“冒充”的简单社会工程策略。表面上看，具体细节并未公开，但有报告称，分散蜘蛛操纵不知情的 IT 管理员重置用户帐户，从而为特权帐户升级提供了机会。人们或许可以推断出“模仿”的含义，但为了便于论证，我们将确定什么是社会工程以及威胁行为者使用的一些更流行的策略。

社会工程的微妙艺术会引发个人为了利用人类心理而采用的操纵和欺骗行为。主要目标是获得对通常无法获得的安全空间和信息系统的未经授权的访问。通过心理操纵与生硬暴力的方式，这种对网络安全和个人隐私的潜在威胁需要毫不留情的尊重。

常见的社会工程 TTP 包括：

• 网络钓鱼/网络钓鱼：发送看似合法的欺诈性电子邮件或短信来恐吓和危害受信任的组织或个人。
• 诱饵：提供有价值的东西，例如免费下载或 USB 驱动器，其中包含包裹在毫无戒心的特洛伊木马中的恶意漏洞。
• 冒充：充当权威人物以进行恐吓并迫使个人泄露信息或遵守其要求。

与缓解社会工程攻击相关的预防措施太多，无法一一列出；不过，这里有一些更流行和实用的预防方法：

• 教育和态势感知：知识就是力量。可以说，最关键的组成部分是应用肌肉记忆的持续训练，这是成功的基本关键。
• 身份验证：通过您所知道的信息（密码）、您拥有的信息（通用访问卡）以及您的身份（生物识别信息）进行重复和定期的身份验证，尤其是在请求看似异常或紧急的情况下。
• 可疑活动报告：鼓励形成向有关当局或 IT/安全团队报告任何可疑事件的文化。

通过保持知情、保持警惕和谨慎，个人和组织可以显着降低成为社会工程攻击受害者的风险，并保护他们的敏感信息和资产。

身份/特权访问管理 (I/PAM)

由于 Okta 密码管理协议中发现的可利用漏洞，黑客组织无缝破坏了 Active Directory 和 Okta 之间发生的密码同步处理，从而允许密码拦截。此外，在 Scattered Spider 成功拥有对 MGM Okta Sync 服务器的所有管理写入后，他们别无选择，只能将其全部关闭。不幸的是，这样做的结果对与 MGM Okta 平台相关的所有业务运营和用户帐户造成了严重的附带损害。身份和特权访问管理 (I/PAM) 是一种网络安全实践，涉及以提升的权限控制、监控和保护对关键系统、数据和帐户的访问，同时通过限制仅授权人员的访问来防范内部威胁和外部攻击。今后，组织可以通过执行可靠的 I/PAM 计划来大幅减少网络攻击带来的负面影响。

有效维护 I/PAM 的最低要求：

• 强制执行最低权限：为每个用户或系统分配所需的最低访问权限，以帮助降低未经授权的操作的风险。
• 实施强身份验证：所有特权访问都需要多重身份验证 (MFA) 和一次性密码 (OTP)，以保证只有经过授权的个人才能进入。
• 监控和审核活动：持续监控特权访问、记录所有操作，并及时调查任何可疑或未经授权的活动。

Okta I/PAM 卫生最佳实践：

• 切勿导出您的 Okta 主密码
• 查看指示 SCIM 配置更改和/或提升权限的日志和警报数据
• 利用 Okta Fastpass 获得无密码登录体验

结论

我们再次被提醒，历史确实会重演，如果我们继续做同样的事情，或者在这种情况下不做某些事情，我们将会得到同样的结果。米高梅只是最近被黑客入侵的众多公司之一。遗憾的是，如果所需的安全要求从未得到实施，那么这个列表将永远不会停止扩展。您或您的组织是否需要事件响应开发或社会工程培训。也许您需要一个成熟的数据丢失防护计划，这样您宝贵的 PII 就不会像我们的米高梅朋友一样被人肉搜索而被全世界购买。无论如何，我们经验丰富的炼金术士随时准备帮助您解决可能遇到的任何网络安全缺陷。

参考文献

• https://www.bleepingcomputer.com/news/security/blackcat-ransomware-hits-azure-storage-with-sphynx-encryptor/
• https://www.authomize.com/blog/authomize-discovers-password-stealing-and-impersonation-risks-to-in-okta/
• https://www.reuters.com/business/casino-giant-caesars-confirms-data-breach-2023-09-14/