Storm-0501受经济动机的网络犯罪集团

被称为 Storm-0501 的威胁行为者以美国的政府、制造、运输和执法部门为目标，发动勒索软件攻击。

Microsoft 表示，多阶段攻击活动旨在破坏混合云环境并执行从本地到云环境的横向移动，最终导致数据泄露、凭据盗窃、篡改、持续后门访问和勒索软件部署。

“Storm-0501 是一个受经济动机的网络犯罪集团，它使用商品和开源工具进行勒索软件操作，”这家科技巨头的威胁情报团队表示。

自 2021 年以来，该威胁行为者一直活跃在使用 Sabbath （54bb47h） 勒索软件针对教育实体，然后演变为勒索软件即服务 （RaaS） 附属公司，多年来提供各种勒索软件有效载荷，包括 Hive、BlackCat （ALPHV）、Hunters International、LockBit 和 Embargo 勒索软件。

Storm-0501 攻击的一个显著方面是使用弱凭证和特权过高的账户从本地组织迁移到云基础设施。

其他初始访问方法包括使用 Storm-0249 和 Storm-0900 等访问代理已经建立的立足点，或利用未修补的面向 Internet 的服务器（如 Zoho ManageEngine、Citrix NetScaler 和 Adobe ColdFusion 2016）中的各种已知远程代码执行漏洞。

上述任何方法提供的访问权限都为广泛的发现操作铺平了道路，以确定高价值资产、收集域信息和执行 Active Directory 侦查。接下来是部署远程监控和管理工具 （RMM），如 AnyDesk 以保持持久性。

“威胁行为者利用了它在初始访问期间入侵的本地设备上的管理员权限，并试图通过多种方法访问网络内的更多帐户，”Microsoft 表示。

“威胁行为者主要利用 Impacket 的 SecretsDump 模块，该模块通过网络提取凭据，并在大量设备上利用它来获取凭据。”

然后，泄露的凭据用于访问更多设备并提取其他凭据，威胁行为者同时访问敏感文件以提取 KeePass 机密，并进行暴力攻击以获取特定帐户的凭据。

Microsoft 表示，它检测到 Storm-0501 使用 Cobalt Strike 使用泄露的凭据在网络中横向移动并发送后续命令。通过使用 Rclone 将数据传输到 MegaSync 公有云存储服务，可以完成从本地环境进行数据泄露。

还观察到威胁行为者创建对云环境的持续后门访问并将勒索软件部署到本地，使其成为继 Octo Tempest 和 Manatee Tempest 之后以混合云设置为目标的最新威胁行为者。

“威胁行为者使用从攻击早期窃取的凭据，特别是 Microsoft Entra ID（以前称为 Azure AD）从本地横向移动到云环境，并通过后门建立对目标网络的持久访问，”Redmond 说。

据说，转向云是通过遭到入侵的 Microsoft Entra Connect Sync 用户帐户或通过本地用户帐户的云会话劫持完成的，该帐户在云中具有相应的管理员帐户，并禁用了多重身份验证 （MFA）。

在获得对网络的充分控制权、泄露感兴趣的文件并横向移动到云后，攻击最终导致在受害组织中部署 Embargo 勒索软件。Embargo 是一种基于 Rust 的勒索软件，于 2024 年 5 月首次被发现。

“Embargo 背后的勒索软件组织在 RaaS 模式下运作，允许 Storm-0501 等附属公司使用其平台发起攻击，以换取一部分赎金，”Microsoft 表示。

“禁运附属公司采用双重勒索策略，他们首先加密受害者的文件，并威胁如果不支付赎金，否则会泄露被盗的敏感数据。”

话虽如此，Windows 制造商收集的证据表明，威胁行为者并不总是求助于勒索软件分发，而是在某些情况下只选择保持对网络的后门访问。

披露之际，DragonForce 勒索软件组织一直在使用泄露的 LockBit3.0 构建器的变体和 Conti 的修改版本来瞄准制造业、房地产和运输行业的公司。

这些攻击的特点是使用 SystemBC 后门进行持久性，使用 Mimikatz 和 Cobalt Strike 进行凭据收集，以及使用 Cobalt Strike 进行横向移动。美国占受害者总数的 50% 以上，其次是英国和澳大利亚。

“该组织采用双重勒索策略，加密数据，并威胁除非支付赎金就泄露，”总部位于新加坡的 Group-IB 表示。“联盟计划于 2024 年 6 月 26 日启动，向联盟提供 80% 的赎金，以及用于攻击管理和自动化的工具。”