安全机构监测发现,黑石集团、可画、Epic Games、哈里伯顿、Modena等百余家公司正在成为SLSH勒索组织联盟的攻击目标。
此次攻击主要针对拥有大量数字资产和复杂 IT 架构的企业,覆盖互联网、金融、医疗、房地产等多个行业。攻击针对性极强且流程清晰。
安全机构监测到的攻击对象
SLSH勒索组织联盟由Scattered Spider、LAPSUS$与ShinyHunters等组织组成,尤其擅长通过社会工程手段突破企业防线。下面,我们从攻击流程角度,拆解其入侵路径。
第一步:对员工实施语音钓鱼
与常见的钓鱼邮件不同,SLSH 更倾向于直接拨打企业员工或服务台电话,冒充内部 IT 支持人员,以“账号异常”“系统维护”“登录确认”等理由与员工建立联系,诱导其配合操作。
这一阶段,攻击者并不依赖复杂话术,而是通过对企业内部流程的精准模仿,让员工在心理上放松警惕。
语音钓鱼流程图
第二步:引导员工登录内网
在通话过程中,SLSH会引导员工访问一个伪造的登录页面。这些页面在界面、域名和交互细节上高度模仿企业真实系统,使员工难以察觉异常。
从员工视角看,这只是一次再正常不过的操作流程
输入账号
输入密码
完成多因素验证
但在这一步,攻击者真正获取的并不是账号密码,而是一段已经通过验证的登录会话。
第三步:在内网展开横向移动
在很多企业中,员工只需要登录一次,就可以访问邮件、协作平台、业务系统等多个内部系统。
所以当SLSH掌握这段会话后,便不需要再反复入侵不同系统,而是可以:
直接访问多个业务平台
进入内部协作工具
查看或下载敏感数据
这一阶段,攻击行为往往不触发告警,因为所有操作看起来都来自正常员工。
第四步:提升账号权限
获得初始访问权限后,SLSH通常会迅速展开横向移动。
他们会优先进入Slack、Microsoft Teams等内部通信工具,冒充合法员工与同事或管理员沟通,通过请求协助、转交权限、配合排查等方式,逐步诱导管理员授予更高权限。
在多个已披露案例中,SLSH正是通过这种方式,完成了从普通员工账号到管理员权限的升级。
第五步:实施数据窃取与勒索
在完成权限扩展后,SLSH会迅速下载企业内部的核心数据,并以公开泄露为筹码实施勒索。
部分情况下,为进一步施压,他们还会对关键系统进行加密,迫使企业在业务中断与数据外泄风险的双重压力下做出支付赎金的决策。
安全监测显示,近期针对企业基础设施的恶意活动明显增加,其攻击模式与SLSH既有行动高度吻合,表明该类攻击仍在持续推进中。
与早期勒索攻击相比,这类攻击风险更低、路径更短、命中率更高,也更取决于员工的日常操作习惯。
研究人员建议,所有企业应当向员工普及语音钓鱼的常见手法,并对登录系统访问日志开展排查,同时重点关注异常设备注册、不明登录位置等非常规操作。
