近日，有一名為 Storm-0501 的威脅行為者以美國(guó)的政府、制造、運(yùn)輸和執(zhí)法部門為目標(biāo)，發(fā)動(dòng)勒索軟件攻擊。

微軟表示，這種多階段攻擊活動(dòng)旨在破壞混合云環(huán)境，并從內(nèi)部部署橫向移動(dòng)到云環(huán)境，最終導(dǎo)致數(shù)據(jù)外滲、憑證盜竊、篡改、持續(xù)后門訪問和勒索軟件部署。

微軟威脅情報(bào)團(tuán)隊(duì)人員稱，Storm-0501 是一個(gè)有經(jīng)濟(jì)動(dòng)機(jī)的網(wǎng)絡(luò)犯罪團(tuán)伙，其主要使用商品和開源工具進(jìn)行勒索軟件操作。

該威脅行為體自2021年開始活躍，曾利用Sabbath (54bb47h)勒索軟件以教育實(shí)體為目標(biāo)，后來發(fā)展成為勒索軟件即服務(wù)（RaaS）聯(lián)盟，多年來提供各種勒索軟件有效載荷，包括Hive、BlackCat (ALPHV)、Hunters International、LockBit和Embargo勒索軟件。

Storm-0501 攻擊的一個(gè)顯著特點(diǎn)是利用弱憑據(jù)和過度授權(quán)賬戶從企業(yè)內(nèi)部轉(zhuǎn)移到云基礎(chǔ)設(shè)施。

其他初始訪問方法包括使用 Storm-0249 和 Storm-0900 等訪問代理已經(jīng)建立的立足點(diǎn)，或利用 Zoho ManageEngine、Citrix NetScaler 和 Adobe ColdFusion 2016 等面向互聯(lián)網(wǎng)的服務(wù)器中未打補(bǔ)丁的各種已知遠(yuǎn)程代碼執(zhí)行漏洞。

上述任何一種方法所提供的訪問權(quán)限都可為廣泛的發(fā)現(xiàn)操作鋪平道路，以確定高價(jià)值資產(chǎn)、收集域信息并執(zhí)行活動(dòng)目錄偵察。隨后部署 AnyDesk 等遠(yuǎn)程監(jiān)控和管理工具 (RMM)，以保持持久性。

微軟表示：威脅者在初始訪問時(shí)利用了其入侵的本地設(shè)備上的管理員權(quán)限，并試圖通過多種方法訪問網(wǎng)絡(luò)中的更多賬戶。

威脅者主要利用 Impacket 的 SecretsDump 模塊（通過網(wǎng)絡(luò)提取憑證），并在大量設(shè)備上利用該模塊獲取憑證。

被攻破的憑據(jù)隨后被用于訪問更多設(shè)備并提取更多憑據(jù)，威脅者同時(shí)訪問敏感文件以提取 KeePass 秘密，并進(jìn)行暴力攻擊以獲取特定賬戶的憑據(jù)。

微軟表示，它檢測(cè)到 Storm-0501 使用 Cobalt Strike 在網(wǎng)絡(luò)中橫向移動(dòng)被入侵的憑據(jù)并發(fā)送后續(xù)命令。通過使用 Rclone 將數(shù)據(jù)傳輸?shù)?MegaSync 公共云存儲(chǔ)服務(wù)，實(shí)現(xiàn)了內(nèi)部環(huán)境的數(shù)據(jù)外滲。

據(jù)觀察，該威脅行為者還創(chuàng)建了對(duì)云環(huán)境的持續(xù)后門訪問，并將勒索軟件部署到內(nèi)部部署環(huán)境中，這是繼 Octo Tempest 和 Manatee Tempest 之后，最新針對(duì)混合云設(shè)置的威脅行為者。

Redmond說：威脅者使用了從早先攻擊中竊取的憑證，特別是微軟Entra ID（前身為Azure AD），從內(nèi)部部署橫向移動(dòng)到云環(huán)境，并通過后門建立了對(duì)目標(biāo)網(wǎng)絡(luò)的持久訪問。

向云的轉(zhuǎn)移是通過一個(gè)被攻破的微軟 Entra Connect Sync 用戶賬戶或通過劫持一個(gè)內(nèi)部部署用戶賬戶的云會(huì)話來實(shí)現(xiàn)的，而這個(gè)內(nèi)部部署用戶賬戶在云中有一個(gè)各自的管理員賬戶，并禁用了多因素身份驗(yàn)證（MFA）。

在獲得足夠的網(wǎng)絡(luò)控制權(quán)、滲出相關(guān)文件并橫向移動(dòng)到云端后，Embargo 勒索軟件就會(huì)在整個(gè)受害組織內(nèi)部署，從而將攻擊推向高潮。Embargo 是一種基于 Rust 的勒索軟件，于 2024 年 5 月首次被發(fā)現(xiàn)。

微軟表示：Embargo背后的勒索軟件集團(tuán)以RaaS模式運(yùn)作，允許Storm-0501等附屬機(jī)構(gòu)使用其平臺(tái)發(fā)動(dòng)攻擊，以換取贖金分成。

Embargo的附屬組織采用雙重勒索策略，他們首先加密受害者的文件，并威脅說除非支付贖金，否則就會(huì)泄露竊取的敏感數(shù)據(jù)。

盡管如此，根據(jù)Windows 制造商收集到的證據(jù)顯示，該威脅行為者并不總是采用發(fā)布勒索軟件的方式，而是在某些情況下選擇只保留網(wǎng)絡(luò)后門訪問權(quán)限。

在披露這一消息的同時(shí)，DragonForce 勒索軟件組織一直在利用泄露的 LockBit3.0 生成器變種和修改版 Conti 針對(duì)制造業(yè)、房地產(chǎn)和運(yùn)輸業(yè)的公司進(jìn)行攻擊。

這些攻擊的特點(diǎn)是使用 SystemBC 后門進(jìn)行持久性攻擊，使用 Mimikatz 和 Cobalt Strike 進(jìn)行憑證收集，以及使用 Cobalt Strike 進(jìn)行橫向移動(dòng)。美國(guó)的受害者占受害者總數(shù)的 50%以上，其次是英國(guó)和澳大利亞。

總部位于新加坡的 Group-IB 公司表示：該組織采用雙重勒索策略，對(duì)數(shù)據(jù)進(jìn)行加密，并威脅說除非支付贖金，否則就會(huì)泄露數(shù)據(jù)。2024年6月26日啟動(dòng)的聯(lián)盟計(jì)劃向聯(lián)盟成員提供80%的贖金，以及用于攻擊管理和自動(dòng)化的工具。