網絡安全巨頭CrowdStrike證實，已解雇一名涉嫌向知名攻擊者組織泄露內部系統敏感信息的內部人員。

內部截圖遭Telegram泄露

這起事件于周四晚間至周五上午曝光，攻擊者組織“Scattered Lapsus$ Hunters”在其公開的Telegram頻道發布了內部系統截圖。這個自稱由Scattered Spider、LAPSUS$和ShinyHunters三大攻擊者組織成員組成的“超級團伙”公布的圖像，宣稱已獲取CrowdStrike內部環境訪問權限。

截圖顯示，泄露內容包含企業內部儀表盤，以及員工用于登錄企業應用的Okta單點登錄（SSO）面板。攻擊者聲稱這些圖像是通過入侵客戶成功平臺Gainsight獲取的第三方漏洞證據，表明已實現更廣泛的系統滲透。

2.5萬美元利誘內部人員

然而實際情況更偏向人為漏洞而非技術突破。據報道，威脅行為者以2.5萬美元利誘內部員工協助獲取網絡訪問權限。盡管攻擊者宣稱已獲得身份驗證Cookie，CrowdStrike強調其安全運營中心在惡意訪問完全建立前就已監測到異常活動。

CrowdStrike迅速響應

CrowdStrike迅速回應稱，泄露圖像系員工私自拍攝屏幕畫面所致，并非系統網絡遭入侵。公司發言人向網絡安全媒體表示：“上月經過內部調查，我們識別并解雇了一名可疑內部人員，確認其對外分享電腦屏幕截圖。公司系統始終未被攻破，客戶防護未受影響，目前已將案件移交執法部門處理。”

本次事件是Scattered Lapsus$ Hunters大規模攻擊行動的組成部分，該團伙近期持續通過Gainsight和Salesloft等第三方服務商針對大型企業實施攻擊。2025年10月，該組織宣稱從Salesforce客戶處竊取近10億條記錄，并在數據泄露網站列出安聯人壽、澳洲航空、斯特蘭蒂斯等知名受害企業。

社會工程攻擊日益猖獗

該團伙慣用高壓社交工程手段，通過招募內部人員突破企業邊界防御，這種戰術在2025年呈現蔓延趨勢。盡管CrowdStrike此次成功遏制內部威脅未波及客戶，但事件凸顯在高風險網絡安全環境中，被策反員工構成的持續威脅正在升級。

三大頂級網絡犯罪團伙的資源整合與精密社交工程手段結合，標志著科技企業面臨的威脅格局已發生重大演變。