曾在2022年開始針對Twilio、Cloudflare等上百家IT業者的員工下手，從事社交工程攻擊、網路釣魚攻擊、SIM挾持攻擊收集帳密資料，從而入侵企業內部環境，引起各界關注的駭客組織Scattered Spider（也被叫做0ktapus、Octo Tempest、UNC3944），最近轉移攻擊目標而引起研究人員的注意。

資安業者Mandiant指出，他們針對該組織持續進行追蹤發現，這些駭客在過去10個月裡，將攻擊目標轉向企業使用的SaaS應用程式，對方先是針對企業的IT服務臺（Help Desk）下手，藉由社交工程手法，得到特權帳號的初始存取管道。值得留意的是，駭客在發動攻擊之前，其實已掌握客服人員的個人識別資訊（PII），而能夠在過程裡繞過服務臺管理員的身分驗證。

這些駭客對服務臺撥打電話，聲稱他們收到了新手機，需要重設多因素驗證（MFA）機制。在與服務臺管理員互動的過程中，對方不僅能重設特權帳號的密碼，還能繞過多因素驗證防護。

在成功得到受害組織的初始存取權限後，這些駭客針對微軟應用系統進行內部偵察，並找出遠端連線的存取管道。他們經常挖掘SharePoint網站上提供的VPN、虛擬桌面基礎設施（VDI），以及遠距辦公相關的內部文件進行調查，從而濫用合法工具遠端存取受害組織的內部環境。

此外，這些駭客也濫用身分驗證系統Okta，將成功入侵的帳號加入所有與Okta串連的應用程式，從而將攻擊範圍從內部網路環境延伸到雲端的SaaS應用程式。研究人員指出，這麼做駭客不僅濫用了單一簽入（SSO）機制，還能藉由Okta管理平臺觀察這些帳號的狀態，來進一步偵察。

值得留意的是，這些駭客為了持續在受害組織活動，他們透過建立虛擬機器（VM）來達到目的。在許多攻擊行動裡，研究人員看到對方透過單一簽入存取vSphere及Azure，建立VM並藉此執行後續工作。研究人員指出，駭客這麼做的動機，主要是濫用管理群組或是應用程式綁定的管理員權限而能得逞。

為了繞過雲端服務的身分驗證機制，他們發現對方利用名為PCUnlocker的光碟映像檔，並透過vCenter將其掛載到VM使用。此外，這些駭客還會重設電腦d的管理員密碼，而能繞過網域控制。

而對於駭客存取的SaaS服務，他們指出包含了vCenter、Cyber​​Ark、SalesForce、Azure、CrowdStrike、AWS、GCP，而且，在成功入侵這類服務後，便會執行進一步的偵察，甚至會使用雲端同步工具Airbyte、Fivetran，將受害組織的資料轉移到GCP及AWS上。此外，他們也發現對方會拿EDR系統來進行測試，並鎖定Active Directory Federated Services（AD FS），從而將相關帳密用於Golden SAML攻擊。