近日，有一名為 Storm-0501 的威脅行為者以美國的政府、制造、運輸和執法部門為目標，發動勒索軟件攻擊。

微軟表示，這種多階段攻擊活動旨在破壞混合云環境，并從內部部署橫向移動到云環境，最終導致數據外滲、憑證盜竊、篡改、持續后門訪問和勒索軟件部署。

微軟威脅情報團隊人員稱，Storm-0501 是一個有經濟動機的網絡犯罪團伙，其主要使用商品和開源工具進行勒索軟件操作。

該威脅行為體自2021年開始活躍，曾利用Sabbath (54bb47h)勒索軟件以教育實體為目標，后來發展成為勒索軟件即服務（RaaS）聯盟，多年來提供各種勒索軟件有效載荷，包括Hive、BlackCat (ALPHV)、Hunters International、LockBit和Embargo勒索軟件。

Storm-0501 攻擊的一個顯著特點是利用弱憑據和過度授權賬戶從企業內部轉移到云基礎設施。

其他初始訪問方法包括使用 Storm-0249 和 Storm-0900 等訪問代理已經建立的立足點，或利用 Zoho ManageEngine、Citrix NetScaler 和 Adobe ColdFusion 2016 等面向互聯網的服務器中未打補丁的各種已知遠程代碼執行漏洞。

上述任何一種方法所提供的訪問權限都可為廣泛的發現操作鋪平道路，以確定高價值資產、收集域信息并執行活動目錄偵察。隨后部署 AnyDesk 等遠程監控和管理工具 (RMM)，以保持持久性。

微軟表示：威脅者在初始訪問時利用了其入侵的本地設備上的管理員權限，并試圖通過多種方法訪問網絡中的更多賬戶。

威脅者主要利用 Impacket 的 SecretsDump 模塊（通過網絡提取憑證），并在大量設備上利用該模塊獲取憑證。

被攻破的憑據隨后被用于訪問更多設備并提取更多憑據，威脅者同時訪問敏感文件以提取 KeePass 秘密，并進行暴力攻擊以獲取特定賬戶的憑據。

微軟表示，它檢測到 Storm-0501 使用 Cobalt Strike 在網絡中橫向移動被入侵的憑據并發送后續命令。通過使用 Rclone 將數據傳輸到 MegaSync 公共云存儲服務，實現了內部環境的數據外滲。

據觀察，該威脅行為者還創建了對云環境的持續后門訪問，并將勒索軟件部署到內部部署環境中，這是繼 Octo Tempest 和 Manatee Tempest 之后，最新針對混合云設置的威脅行為者。

Redmond說：威脅者使用了從早先攻擊中竊取的憑證，特別是微軟Entra ID（前身為Azure AD），從內部部署橫向移動到云環境，并通過后門建立了對目標網絡的持久訪問。

向云的轉移是通過一個被攻破的微軟 Entra Connect Sync 用戶賬戶或通過劫持一個內部部署用戶賬戶的云會話來實現的，而這個內部部署用戶賬戶在云中有一個各自的管理員賬戶，并禁用了多因素身份驗證（MFA）。

在獲得足夠的網絡控制權、滲出相關文件并橫向移動到云端后，Embargo 勒索軟件就會在整個受害組織內部署，從而將攻擊推向高潮。Embargo 是一種基于 Rust 的勒索軟件，于 2024 年 5 月首次被發現。

微軟表示：Embargo背后的勒索軟件集團以RaaS模式運作，允許Storm-0501等附屬機構使用其平臺發動攻擊，以換取贖金分成。

Embargo的附屬組織采用雙重勒索策略，他們首先加密受害者的文件，并威脅說除非支付贖金，否則就會泄露竊取的敏感數據。

盡管如此，根據Windows 制造商收集到的證據顯示，該威脅行為者并不總是采用發布勒索軟件的方式，而是在某些情況下選擇只保留網絡后門訪問權限。

在披露這一消息的同時，DragonForce 勒索軟件組織一直在利用泄露的 LockBit3.0 生成器變種和修改版 Conti 針對制造業、房地產和運輸業的公司進行攻擊。

這些攻擊的特點是使用 SystemBC 后門進行持久性攻擊，使用 Mimikatz 和 Cobalt Strike 進行憑證收集，以及使用 Cobalt Strike 進行橫向移動。美國的受害者占受害者總數的 50%以上，其次是英國和澳大利亞。

總部位于新加坡的 Group-IB 公司表示：該組織采用雙重勒索策略，對數據進行加密，并威脅說除非支付贖金，否則就會泄露數據。2024年6月26日啟動的聯盟計劃向聯盟成員提供80%的贖金，以及用于攻擊管理和自動化的工具。