“Scattered Spider”黑客组织升级行动，密集攻击航空与交通运输行业

网络安全专家和联邦机构正紧急发出警报：“Scattered Spider”黑客组织近期已将攻击目标转向航空与交通运输行业，其行动强度与风险级别持续升级，令人高度警惕。

美国联邦调查局（FBI）确认，这一网络犯罪团伙（又名 UNC3944）已开始针对航空公司开展攻击行动，利用高度复杂的社会工程手法入侵主要航空及运输企业。近期数起引发行业震动的重大安全事件正是这一趋势的直接体现。

夏威夷航空公司于上周四披露，该公司遭遇了一起严重的网络安全事件，影响了部分 IT 系统。尽管如此，该航司强调航班运行未受影响，依然安全、有序进行。

这起攻击最早在 6 月 23 日 被检测到，航空公司随后迅速联系联邦执法机构与网络安全专家，联合展开调查与处置工作。

针对航空业的攻击正在蔓延

加拿大航空公司 WestJet 上周也遭遇类似攻击，导致部分系统与移动应用出现中断。该攻击始于 6 月 13 日，持续时间超过一周，相关调查仍在进行中，目前尚无法确认是否存在敏感客户数据泄露。多位应急响应人员将上述两起事件均归因于“Scattered Spider”的活动。

Google Cloud 旗下 Mandiant 咨询公司首席技术官 Charles Carmakal 表示，其团队已“掌握多起航空与运输行业的安全事件，具备 Scattered Spider（UNC3944）攻击特征”。他指出，该组织长期聚焦某一行业展开集中攻击，然后再转向下一个目标领域。

“鉴于该组织专注单一行业的攻击习惯，我们建议相关行业立即加固系统防御能力。”Carmakal 表示。

FBI 正在与航空业及其他行业合作伙伴密切协作，推动事件处置并协助受害单位，强烈呼吁相关组织及时上报可疑活动。

社会工程为核心攻击手段，伪装身份诱导服务台授权

FBI 警告称，Scattered Spider 主要依赖社会工程手段，攻击者常通过伪装成内部员工或外部承包商的方式，欺骗 IT 服务台绕过身份验证流程。攻击手法常见于诱导 IT 部门在目标账户中添加未授权的多因素认证（MFA）设备，从而获取系统访问权限。

该组织攻击范围不仅覆盖大型企业，还包括其 第三方 IT 服务商，意味着航空行业中的任何角色（包括外包厂商与信任合作伙伴）都可能成为攻击跳板。一旦攻入网络，攻击者会窃取敏感数据进行勒索，甚至部署勒索软件进行破坏。

航空行业已成为 Scattered Spider 在跨行业攻击行动中的最新重点打击目标。据了解，该团伙成员多为来自美国和英国的英语母语者，这使其在对西方国家实施社会工程攻击时具备语言优势，具备极强欺骗性与适配性。

行业建议：加强验证、部署抗钓鱼 MFA、提升应急响应能力

Mandiant 基于数千小时的应急响应经验，已发布专门的防护加固指南。该指南强调，组织应立即：

• 严格服务台新增手机号、重设密码等操作前的身份验证机制；

• 防范利用 IT 服务人员获取敏感信息进行后续攻击的社工手段；

• 培训服务台人员识别并拦截钓鱼式 MFA 重设请求；

• 推广部署抗钓鱼型多因素认证机制，降低攻击成功率。

专家建议，组织应重点关注攻击链条中的“人为薄弱环节”，尤其是社会工程、服务台绕权、会话劫持等常用手段，强化终端员工的安全意识和系统响应机制。

随着 Scattered Spider 持续推进其高强度攻击行动，航空行业面临前所未有的网络安全挑战，亟需立即采取有效措施，防护关键基础设施与乘客敏感信息的安全。