近日，有一名為 Storm-0501 的威脅行為者以美國的政府、制造、運輸和執(zhí)法部門為目標，發(fā)動勒索軟件攻擊。

微軟表示，這種多階段攻擊活動旨在破壞混合云環(huán)境，并從內部部署橫向移動到云環(huán)境，最終導致數(shù)據(jù)外滲、憑證盜竊、篡改、持續(xù)后門訪問和勒索軟件部署。

微軟威脅情報團隊人員稱，Storm-0501 是一個有經(jīng)濟動機的網(wǎng)絡犯罪團伙，其主要使用商品和開源工具進行勒索軟件操作。

該威脅行為體自2021年開始活躍，曾利用Sabbath (54bb47h)勒索軟件以教育實體為目標，后來發(fā)展成為勒索軟件即服務（RaaS）聯(lián)盟，多年來提供各種勒索軟件有效載荷，包括Hive、BlackCat (ALPHV)、Hunters International、LockBit和Embargo勒索軟件。

Storm-0501 攻擊的一個顯著特點是利用弱憑據(jù)和過度授權賬戶從企業(yè)內部轉移到云基礎設施。

其他初始訪問方法包括使用 Storm-0249 和 Storm-0900 等訪問代理已經(jīng)建立的立足點，或利用 Zoho ManageEngine、Citrix NetScaler 和 Adobe ColdFusion 2016 等面向互聯(lián)網(wǎng)的服務器中未打補丁的各種已知遠程代碼執(zhí)行漏洞。

上述任何一種方法所提供的訪問權限都可為廣泛的發(fā)現(xiàn)操作鋪平道路，以確定高價值資產、收集域信息并執(zhí)行活動目錄偵察。隨后部署 AnyDesk 等遠程監(jiān)控和管理工具 (RMM)，以保持持久性。

微軟表示：威脅者在初始訪問時利用了其入侵的本地設備上的管理員權限，并試圖通過多種方法訪問網(wǎng)絡中的更多賬戶。

威脅者主要利用 Impacket 的 SecretsDump 模塊（通過網(wǎng)絡提取憑證），并在大量設備上利用該模塊獲取憑證。

被攻破的憑據(jù)隨后被用于訪問更多設備并提取更多憑據(jù)，威脅者同時訪問敏感文件以提取 KeePass 秘密，并進行暴力攻擊以獲取特定賬戶的憑據(jù)。

微軟表示，它檢測到 Storm-0501 使用 Cobalt Strike 在網(wǎng)絡中橫向移動被入侵的憑據(jù)并發(fā)送后續(xù)命令。通過使用 Rclone 將數(shù)據(jù)傳輸?shù)?MegaSync 公共云存儲服務，實現(xiàn)了內部環(huán)境的數(shù)據(jù)外滲。

據(jù)觀察，該威脅行為者還創(chuàng)建了對云環(huán)境的持續(xù)后門訪問，并將勒索軟件部署到內部部署環(huán)境中，這是繼 Octo Tempest 和 Manatee Tempest 之后，最新針對混合云設置的威脅行為者。

Redmond說：威脅者使用了從早先攻擊中竊取的憑證，特別是微軟Entra ID（前身為Azure AD），從內部部署橫向移動到云環(huán)境，并通過后門建立了對目標網(wǎng)絡的持久訪問。

向云的轉移是通過一個被攻破的微軟 Entra Connect Sync 用戶賬戶或通過劫持一個內部部署用戶賬戶的云會話來實現(xiàn)的，而這個內部部署用戶賬戶在云中有一個各自的管理員賬戶，并禁用了多因素身份驗證（MFA）。

在獲得足夠的網(wǎng)絡控制權、滲出相關文件并橫向移動到云端后，Embargo 勒索軟件就會在整個受害組織內部署，從而將攻擊推向高潮。Embargo 是一種基于 Rust 的勒索軟件，于 2024 年 5 月首次被發(fā)現(xiàn)。

微軟表示：Embargo背后的勒索軟件集團以RaaS模式運作，允許Storm-0501等附屬機構使用其平臺發(fā)動攻擊，以換取贖金分成。

Embargo的附屬組織采用雙重勒索策略，他們首先加密受害者的文件，并威脅說除非支付贖金，否則就會泄露竊取的敏感數(shù)據(jù)。

盡管如此，根據(jù)Windows 制造商收集到的證據(jù)顯示，該威脅行為者并不總是采用發(fā)布勒索軟件的方式，而是在某些情況下選擇只保留網(wǎng)絡后門訪問權限。

在披露這一消息的同時，DragonForce 勒索軟件組織一直在利用泄露的 LockBit3.0 生成器變種和修改版 Conti 針對制造業(yè)、房地產和運輸業(yè)的公司進行攻擊。

這些攻擊的特點是使用 SystemBC 后門進行持久性攻擊，使用 Mimikatz 和 Cobalt Strike 進行憑證收集，以及使用 Cobalt Strike 進行橫向移動。美國的受害者占受害者總數(shù)的 50%以上，其次是英國和澳大利亞。

總部位于新加坡的 Group-IB 公司表示：該組織采用雙重勒索策略，對數(shù)據(jù)進行加密，并威脅說除非支付贖金，否則就會泄露數(shù)據(jù)。2024年6月26日啟動的聯(lián)盟計劃向聯(lián)盟成員提供80%的贖金，以及用于攻擊管理和自動化的工具。