Scattered Lapsus$ Hunters

报告编号: TIR-2026-0701-023 | 分类等级: TLP:AMBER | 发布日期: 2026年7月1日 | 情报来源: 多源交叉验证(OSINT + SOCRadar 2025 Top 10 + Microsoft + CrowdStrike + SentinelOne + Darktrace + The DFIR Report + Halcyon Q2-2025)


一、执行摘要

Scattered Lapsus$ Hunters(又称 SL Hunters、Octo Tempest 联盟)是2025年SOCRadar评选的全球第1大勒索威胁,由 Scattered Spider(Octo Tempest)+ LAPSUS$ + ShinyHunters 三大组织组成的情境性联盟。该联盟并非正式合并,而是基于共同目标和互补能力的松散协作网络,以纯社会工程攻击身份为中心的攻击策略著称。

该联盟最显著的成就是对 Jaguar Land Rover (JLR) 的攻击——造成 £19亿(约$24亿) 经济损失,是 G7 经济体中有记录以来经济损失最严重的网络攻击。2025年4-6月,该联盟联合 DragonForce 对英国多家知名零售商(哈罗德百货、玛莎百货、合作社)发动高调攻击。2026年初,该联盟以更结构化的运营模式重新活跃。

关键发现

维度关键指标
组织规模三大组织联盟(Scattered Spider + LAPSUS$ + ShinyHunters)
排名SOCRadar 2025 全球第1大勒索威胁
首要目标大型企业(零售/汽车/科技/金融)
攻击策略纯社会工程(无恶意软件、无漏洞利用)
核心能力身份为中心、SaaS/Salesforce 环境入侵
重大事件JLR £19亿损失(G7最严重网络攻击)、英国零售攻击
关联组织DragonForce(初始访问合作)、The Com(松散关联)
自研工具ShinySp1d3r(RaaS 勒索工具)
解密可能性不存在(无公开解密工具)
当前状态活跃(2026年初重新活跃)

威胁等级评估

评估维度等级说明
技术能力🔴 极高纯社会工程、SaaS 入侵、ShinySp1d3r 自研工具
运营成熟度🔴 极高三大组织联盟、情境性协作、结构化运营
攻击规模🔴 极高JLR £19亿损失、英国零售高调攻击
目标针对性🔴 极高全球顶级品牌(Harrods/M&S/Co-op/JLR)
数据泄露风险🔴 极高纯数据勒索 + SaaS 环境深度入侵

二、威胁行为者画像

2.1 组织标识

属性
官方名称Scattered Lapsus$ Hunters(SL Hunters)
别名Octo Tempest(Microsoft)、Scattered Spider + LAPSUS$ + ShinyHunters 联盟
组织类型情境性联盟(非正式合并)
活跃周期2025年 – 至今(2026年初重新活跃)
地理归属多国(英国/美国/巴西/东欧成员)
攻击目标全球大型企业
动机经济利益 + 声誉

2.2 三大组成组织

┌──────────────────────────────────────────────────────┐
│       Scattered Lapsus$ Hunters 联盟结构              │
├──────────────────────────────────────────────────────┤
│                                                        │
│  ┌─────────────────┐  ┌─────────────────┐            │
│  │ Scattered Spider │  │   LAPSUS$       │            │
│  │(Octo Tempest)   │  │(2022年活跃)   │            │
│  │ 社会工程专家      │  │ 内部人员招募    │            │
│  │ SaaS/Salesforce  │  │ 电信/科技重点    │            │
│  └────────┬────────┘  └────────┬────────┘            │
│           │                     │                      │
│           └──────────┬──────────┘                      │
│                      │                                  │
│              ┌───────┴───────┐                         │
│              │ ShinyHunters  │                         │
│              │(数据窃取专家)│                         │
│              │ 大规模数据外泄│                         │
│              └───────────────┘                         │
│                                                        │
│  联盟特征:                                            │
│  ├── 非正式合并,情境性协作                            │
│  ├── 能力互补:社会工程 + 内部人员 + 数据窃取          │
│  ├── 共同目标:高价值大型企业                          │
│  └── 松散结构,成员可独立行动                          │
│                                                        │
└──────────────────────────────────────────────────────┘

三、归因分析

3.1 地理归属

证据类型详情置信度
Scattered Spider英语母语,美国/英国成员
LAPSUS$巴西/英国青少年成员(2022年逮捕)
ShinyHunters多国成员,俄语地区关联中-高
The Com松散关联的威胁行为者集体

四、技术能力评估

4.1 纯社会工程攻击

┌──────────────────────────────────────────────────────┐
│       Scattered Lapsus$ Hunters 攻击策略              │
├──────────────────────────────────────────────────────┤
│                                                        │
│  传统勒索组织:                                        │
│  恶意软件 / 漏洞利用 → 初始访问                        │
│                                                        │
│  SL Hunters 模式:                                     │
│  纯社会工程(无恶意软件、无漏洞利用)                   │
│         ↓                                              │
│  1. 电话/邮件冒充 IT 支持 / 高管                       │
│         ↓                                              │
│  2. 诱导员工重置凭证 / 安装远程工具                     │
│         ↓                                              │
│         ↓                                              │
│  4. 横向移动至 SaaS 环境(Salesforce/Office 365)      │
│         ↓                                              │
│  5. 数据窃取 + 勒索                                    │
│                                                        │
│  核心优势:                                            │
│  ├── 无恶意文件,端点检测完全失效                      │
│  ├── 无漏洞利用,补丁管理无效                          │
│  ├── 合法凭证,行为类似正常用户                        │
│  └── SaaS 环境深度入侵,传统网络分段无效               │
│                                                        │
└──────────────────────────────────────────────────────┘

4.2 ShinySp1d3r 自研工具

属性
工具名称ShinySp1d3r
类型自研 RaaS 勒索工具
功能数据加密 + 泄露管理
意义从纯数据勒索向加密勒索的能力跃升

五、攻击链分析

5.1 初始访问

技术MITRE ATT&CK详情
电话社会工程T1566.004冒充 IT 支持/高管电话
凭证重置T1566诱导员工重置凭证
远程工具安装T1219诱导安装 AnyDesk/ScreenConnect
内部人员T1078LAPSUS$ 招募内部人员

5.2 执行与持久化

技术MITRE ATT&CK详情
合法凭证T1078直接使用合法凭证登录
SaaS 环境T1078Salesforce/Office 365 深度入侵
合法工具T1219AnyDesk/ScreenConnect 远程访问

5.3 凭证窃取

技术MITRE ATT&CK详情
社会工程T1566电话/邮件诱导凭证重置
会话劫持T1528窃取活跃会话令牌
内部人员T1078内部人员提供凭证

5.4 横向移动

技术MITRE ATT&CK详情
SaaS 横向T1078Salesforce/Office 365 环境横向
API 滥用T1106SaaS API 横向移动
SSO 滥用T1528单点登录令牌滥用

5.5 数据外传

技术MITRE ATT&CK详情
SaaS 导出T1537SaaS 环境数据导出
API 外传T1048SaaS API 数据外传
云存储T1567云存储外传

5.6 防御规避与影响

技术MITRE ATT&CK详情
无恶意软件T1078纯社会工程,端点检测失效
合法凭证T1078行为类似正常用户
SaaS 环境T1078传统网络分段无效
数据加密T1486ShinySp1d3r 加密工具
数据泄露T1486双重勒索施压

六、受害者分析

6.1 重大攻击事件

时间受害者影响
2025.04-06Harrods / M&S / Co-op(英国零售)联合 DragonForce 高调攻击
2025Jaguar Land Rover (JLR)£19亿损失(G7最严重网络攻击)
2026初多家大型企业更结构化运营模式重新活跃

6.2 行业分布

行业优先级说明
零售🔴 极高Harrods/M&S/Co-op
汽车🔴 极高JLR(£19亿损失)
科技🔴 高SaaS/云服务提供商
电信🔴 高LAPSUS$ 传统目标
金融🟠 高金融机构
游戏🟠 高游戏公司

七、联盟运营模式分析

7.1 能力互补

组织核心能力贡献
Scattered Spider社会工程、SaaS 入侵初始访问、身份入侵
LAPSUS$内部人员招募内部凭证、深度访问
ShinyHunters大规模数据窃取数据外泄、泄露管理

7.2 与 DragonForce 合作

┌──────────────────────────────────────────────────────┐
│       SL Hunters + DragonForce 合作模式               │
├──────────────────────────────────────────────────────┤
│                                                        │
│  Scattered Lapsus$ Hunters:                           │
│  ├── 纯社会工程获取初始访问                            │
│  ├── 身份为中心入侵 SaaS 环境                          │
│  └── 提供合法凭证和深度访问                            │
│                                                        │
│  DragonForce:                                         │
│  ├── 部署勒索软件载荷                                  │
│  ├── 加密和数据泄露管理                                │
│  └── 谈判和赎金收取                                    │
│                                                        │
│  合作案例:                                            │
│  └── 2025.04-06 英国零售攻击(Harrods/M&S/Co-op)     │
│                                                        │
└──────────────────────────────────────────────────────┘

八、IOC 完整列表

8.1 网络指标

类型说明
工具ShinySp1d3r自研 RaaS 勒索工具
工具AnyDesk / ScreenConnect合法远程工具滥用
平台Salesforce / Office 365SaaS 环境入侵
策略纯社会工程无恶意软件、无漏洞利用

8.2 行为指标

  • 异常凭证重置请求
  • 非工作时间 SaaS 环境登录
  • 异常 API 调用模式
  • SaaS 数据批量导出
  • 远程工具(AnyDesk/ScreenConnect)异常安装

8.3 攻击工具链

电话/邮件社会工程(冒充 IT/高管)
    ↓
诱导凭证重置 / 远程工具安装
    ↓
合法凭证登录(SaaS/Office 365/Salesforce)
    ↓
SaaS 环境横向移动(API/SSO 滥用)
    ↓
ShinyHunters 数据窃取(SaaS 导出/API 外传)
    ↓
DragonForce 部署勒索软件(联合攻击)
    ↓
ShinySp1d3r 加密 + 数据泄露威胁

九、检测规则

9.1 Sigma 规则

规则 1:异常凭证重置

title: SL Hunters - Anomalous Password Reset
id: slh001-password-reset
status: experimental
description: 检测异常凭证重置行为(可能的社会工程攻击)
logsource:
  category: authentication
  product: windows
detection:
  selection:
    EventID: 4724  # 密码重置尝试
  timeframe: 5m
  condition: selection | count() > 3
level: high
tags:
  - attack.credential_access
  - attack.t1566

规则 2:SaaS 异常登录

title: SL Hunters - Anomalous SaaS Login
id: slh002-saas-login
status: experimental
description: 检测 SaaS 环境异常登录行为
logsource:
  category: authentication
  product: office365
detection:
  selection:
    ResultType: 0  # 成功登录
    Location|contains:  # 异常地理位置
      - 'Unknown'
  condition: selection
level: high
tags:
  - attack.initial_access
  - attack.t1078

规则 3:远程工具异常安装

title: SL Hunters - Remote Tool Installation
id: slh003-remote-tool
status: experimental
description: 检测远程管理工具异常安装
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    Image|endswith:
      - '\AnyDesk.exe'
      - '\ScreenConnect.exe'
  filter:
    ParentImage|endswith:
      - '\msiexec.exe'
      - '\setup.exe'
  condition: selection and not filter
level: high
tags:
  - attack.execution
  - attack.t1219

9.2 YARA 规则

rule ShinySp1d3r_Ransomware {
    meta:
        description = "检测 ShinySp1d3r 勒索工具"
        author = "Threat Intelligence Team"
        date = "2026-07-01"
        reference = "Scattered Lapsus$ Hunters"
    strings:
        $s1 = "ShinySp1d3r" ascii
        $s2 = "ShinyHunters" ascii
        $s3 = "vssadmin delete shadows" ascii
        $hex1 = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 }
    condition:
        2 of ($s*) and $hex1
}

十、风险评估矩阵

风险维度评分说明
技术能力10/10纯社会工程 + SaaS 入侵 + 自研工具
传播能力9/10三大组织联盟,能力互补
规避能力10/10无恶意软件、无漏洞利用、合法凭证
数据泄露威胁10/10SaaS 深度入侵 + 大规模数据窃取
目标价值10/10JLR £19亿、Harrods/M&S/Co-op
综合风险🔴 极高SOCRadar 2025 #1 + G7最严重网络攻击

十一、缓解建议

11.1 即时行动

  1. 社会工程防护:培训员工识别冒充 IT/高管的电话/邮件
  2. 凭证重置验证:实施二次验证流程
  3. 远程工具审计:审计 AnyDesk/ScreenConnect 安装

11.2 短期加固

  1. 强制 MFA:所有 SaaS 环境(Salesforce/Office 365)
  2. 会话管理:限制会话令牌生命周期
  3. SaaS 监控:监控异常 API 调用和数据导出

11.3 长期策略

  1. 零信任架构:基于身份的持续验证
  2. 身份安全:部署身份威胁检测
  3. 安全意识:定期社会工程演练

11.4 解密恢复路径

维度详情
解密器状态无公开解密工具
攻击特点纯社会工程,SaaS 环境深度入侵
建议优先从备份恢复;联系执法部门

十二、核心建议

  1. 社会工程是最大威胁:SL Hunters 证明纯社会工程(无恶意软件、无漏洞利用)可以攻破全球顶级企业
  2. 身份为中心:攻击核心是身份入侵,传统端点防护和补丁管理完全无效
  3. SaaS 环境风险:Salesforce/Office 365 等 SaaS 环境成为主要攻击面
  4. JLR 案例警示:£19亿损失证明社会工程攻击的经济影响可超过传统漏洞利用
  5. 联盟威胁:三大组织联盟的能力互补使威胁更加复杂,防御需全面覆盖

十三、附录

附录 A:信息来源

编号来源日期
[1]SOCRadar: Top 10 Ransomware Groups 20252026.01
[2]Microsoft: Octo Tempest Analysis2025
[3]CrowdStrike: Scattered Spider TTPs2025
[4]SentinelOne: SL Hunters Research2025
[5]Darktrace: JLR Attack Analysis2025
[6]The DFIR Report: UK Retail Attacks2025
[7]Halcyon: Q2-2025 Power Rankings2025

附录 B:术语表

术语定义
Scattered Spider社会工程专家,Microsoft 追踪代号 Octo Tempest
LAPSUS$2022年活跃的勒索组织,以内部人员招募著称
ShinyHunters大规模数据窃取专家
ShinySp1d3rSL Hunters 自研 RaaS 勒索工具
情境性联盟非正式合并,基于共同目标的松散协作

附录 C:追踪计划

维度说明
组织状态活跃(2026年初重新活跃)
联盟演化监控三大组织协作深化
DragonForce 合作关注联合攻击趋势
SaaS 威胁监控 SaaS 环境入侵趋势
解密工具关注是否有公开解密工具发布