据观察,出于经济动机的威胁行为者 Storm-0501 正在完善其策略,以针对云环境进行数据泄露和勒索攻击。
“与传统的本地勒索软件不同,威胁行为者通常部署恶意软件来加密受感染网络内的端点的关键文件,然后协商解密密钥,基于云的勒索软件引入了根本性的转变,”Microsoft 威胁情报团队在与 The Hacker News 分享的一份报告中表示。
“利用云原生功能,Storm-0501 快速泄露大量数据,破坏受害者环境中的数据和备份,并索要赎金——所有这些都不依赖传统的恶意软件部署。”
Microsoft 在大约一年前首次记录了 Storm-0501,详细介绍了其针对美国政府、制造、运输和执法部门的混合云勒索软件攻击,威胁行为者从本地转向云,以进行后续数据泄露、凭据盗窃和勒索软件部署。
这家 Windows 制造商告诉 The Hacker News,最新一波针对的攻击是机会主义的,而不是针对特定行业的,包括学校、医疗保健和其他实体在内的多个组织都受到了电子犯罪团队的攻击。
该黑客组织自 2021 年以来一直活跃,现已发展成为勒索软件即服务 (RaaS) 附属机构,多年来提供各种勒索软件有效负载,例如 Sabbath、Hive、BlackCat (ALPHV)、Hunters International、LockBit 和 Embargo。
该公司表示:“Storm-0501 继续展示在本地和云环境之间移动的熟练程度,体现了威胁行为者如何随着混合云采用的增长而适应。“他们在混合云环境中寻找非托管设备和安全漏洞,以逃避检测和升级云权限,在某些情况下,他们会遍历多租户设置中的租户以实现他们的目标。”
典型的攻击链涉及威胁行为者滥用其初始访问权限来实现对域管理员的权限升级,然后是本地横向移动和侦察步骤,允许攻击者破坏目标的云环境,从而启动涉及持久性、权限升级、数据泄露、加密和勒索的多阶段序列。
根据 Microsoft 的说法,初始访问是通过 Storm-0249 和 Storm-0900 等访问代理促进的入侵来实现的,利用被盗、泄露的凭据登录目标系统,或利用未修补的面向公众的服务器中的各种已知远程代码执行漏洞。
“访问代理通常会向组织出售或提供立足点,然后勒索软件运营商利用这些组织发起攻击,”Microsoft 威胁情报战略总监 Sherrod DeGrippo 说。
“过去,Storm-0501 及其附属公司曾利用未修补的面向互联网的服务器(包括 Zoho ManageEngine、Citrix NetScaler 和 Adobe ColdFusion 2016 等产品)中已知的远程代码执行漏洞。通过针对这些漏洞,威胁行为者可以绕过边界防御并在网络内建立存在,为进一步的入侵和勒索软件部署奠定基础。
在最近针对一家拥有多家子公司的未具名大型企业的活动中,据说 Storm-0501 在使用 Evil-WinRM 横向移动网络之前进行了侦察。攻击者还进行了所谓的 DCSync 攻击,通过模拟域控制器的行为从 Active Directory 中提取凭据。
Microsoft 表示:“利用他们在 Active Directory 环境中的立足点,他们在 Active Directory 域之间遍历,并最终横向移动以破坏与不同 Entra ID 租户和 Active Directory 域关联的第二台 Entra Connect 服务器。
“威胁行为者提取了目录同步帐户以重复侦察过程,这次目标是第二个租户中的身份和资源。”
这些努力最终使 Storm-0501 能够识别该租户上 Microsoft Entra ID 中具有全局管理员角色的非人类同步标识,并且缺乏多重身份验证 (MFA) 保护。随后,攻击者重置用户的本地密码,导致使用 Entra Connect 同步服务将其同步到该用户的云标识。
数字入侵者使用受损的全局管理员帐户,被发现可以访问 Azure 门户,将威胁行为者拥有的 Entra ID 租户注册为受信任的联合域以创建后门,然后提升他们对关键 Azure 资源的访问权限,然后为数据泄露和勒索奠定基础。
Microsoft 表示:“在完成泄露阶段后,Storm-0501 发起了对包含受害组织数据的 Azure 资源的批量删除,阻止受害者通过恢复数据来采取补救和缓解措施。
“在成功窃取并销毁 Azure 环境中的数据后,威胁行为者启动了勒索阶段,他们使用 Microsoft Teams 使用之前受感染的用户之一联系受害者,索要赎金。”
该公司表示,它已经对 Microsoft Entra ID 进行了更改,以防止威胁行为者滥用目录同步帐户来提升权限。它还发布了 Microsoft Entra Connect(版本 2.5.3.0)的更新,以支持新式身份验证,以允许客户配置基于应用程序的身份验证以增强安全性。
这家科技巨头补充道:“在 Entra Connect Sync 服务器上启用可信平台模块 (TPM) 以安全地存储敏感凭据和加密密钥,从而减轻 Storm-0501 的凭据提取技术也很重要。
该故事在发布后进行了更新,以包括 Microsoft 的回应。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
