Storm-0501黑客组织针对美国政府混合云环境发起攻击

FreeBuf2024-09-30 16:34:02  74

近日,有一名为 Storm-0501 的威胁行为者以美国的政府、制造、运输和执法部门为目标,发动勒索软件攻击。

微软表示,这种多阶段攻击活动旨在破坏混合云环境,并从内部部署横向移动到云环境,最终导致数据外渗、凭证盗窃、篡改、持续后门访问和勒索软件部署。

微软威胁情报团队人员称,Storm-0501 是一个有经济动机的网络犯罪团伙,其主要使用商品和开源工具进行勒索软件操作。

该威胁行为体自2021年开始活跃,曾利用Sabbath (54bb47h)勒索软件以教育实体为目标,后来发展成为勒索软件即服务(RaaS)联盟,多年来提供各种勒索软件有效载荷,包括Hive、BlackCat (ALPHV)、Hunters International、LockBit和Embargo勒索软件。

Storm-0501 攻击的一个显著特点是利用弱凭据和过度授权账户从企业内部转移到云基础设施。

其他初始访问方法包括使用 Storm-0249 和 Storm-0900 等访问代理已经建立的立足点,或利用 Zoho ManageEngine、Citrix NetScaler 和 Adobe ColdFusion 2016 等面向互联网的服务器中未打补丁的各种已知远程代码执行漏洞。

上述任何一种方法所提供的访问权限都可为广泛的发现操作铺平道路,以确定高价值资产、收集域信息并执行活动目录侦察。随后部署 AnyDesk 等远程监控和管理工具 (RMM),以保持持久性。

微软表示:威胁者在初始访问时利用了其入侵的本地设备上的管理员权限,并试图通过多种方法访问网络中的更多账户。

威胁者主要利用 Impacket 的 SecretsDump 模块(通过网络提取凭证),并在大量设备上利用该模块获取凭证。

被攻破的凭据随后被用于访问更多设备并提取更多凭据,威胁者同时访问敏感文件以提取 KeePass 秘密,并进行暴力攻击以获取特定账户的凭据。

微软表示,它检测到 Storm-0501 使用 Cobalt Strike 在网络中横向移动被入侵的凭据并发送后续命令。通过使用 Rclone 将数据传输到 MegaSync 公共云存储服务,实现了内部环境的数据外渗。

据观察,该威胁行为者还创建了对云环境的持续后门访问,并将勒索软件部署到内部部署环境中,这是继 Octo Tempest 和 Manatee Tempest 之后,最新针对混合云设置的威胁行为者。

Redmond说:威胁者使用了从早先攻击中窃取的凭证,特别是微软Entra ID(前身为Azure AD),从内部部署横向移动到云环境,并通过后门建立了对目标网络的持久访问。

向云的转移是通过一个被攻破的微软 Entra Connect Sync 用户账户或通过劫持一个内部部署用户账户的云会话来实现的,而这个内部部署用户账户在云中有一个各自的管理员账户,并禁用了多因素身份验证(MFA)。

在获得足够的网络控制权、渗出相关文件并横向移动到云端后,Embargo 勒索软件就会在整个受害组织内部署,从而将攻击推向高潮。Embargo 是一种基于 Rust 的勒索软件,于 2024 年 5 月首次被发现。

微软表示:Embargo背后的勒索软件集团以RaaS模式运作,允许Storm-0501等附属机构使用其平台发动攻击,以换取赎金分成。

Embargo的附属组织采用双重勒索策略,他们首先加密受害者的文件,并威胁说除非支付赎金,否则就会泄露窃取的敏感数据。

尽管如此,根据Windows 制造商收集到的证据显示,该威胁行为者并不总是采用发布勒索软件的方式,而是在某些情况下选择只保留网络后门访问权限。

在披露这一消息的同时,DragonForce 勒索软件组织一直在利用泄露的 LockBit3.0 生成器变种和修改版 Conti 针对制造业、房地产和运输业的公司进行攻击。

这些攻击的特点是使用 SystemBC 后门进行持久性攻击,使用 Mimikatz 和 Cobalt Strike 进行凭证收集,以及使用 Cobalt Strike 进行横向移动。美国的受害者占受害者总数的 50%以上,其次是英国和澳大利亚。

总部位于新加坡的 Group-IB 公司表示:该组织采用双重勒索策略,对数据进行加密,并威胁说除非支付赎金,否则就会泄露数据。2024年6月26日启动的联盟计划向联盟成员提供80%的赎金,以及用于攻击管理和自动化的工具。

转载此文是出于传递更多信息目的。若来源标注错误或侵犯了您的合法权益,请与本站联系,我们将及时更正、删除、谢谢。
https://www.414w.com/read/1310877.html
0
随机主题
辽篮夺冠谁是最大功臣?弗格无缘前四,第一名你应该想不到!F1伊莫拉站赛后点评 迈凯伦挑战红牛9.88万的自动挡合资SUV, 还配四轮独悬, 家用买它合适?那些演绎帝王专业户,你心中的最佳帝王是谁?“17筑梦·更有爱” 建德这场青年人才交友派对甜度超标!NBA巨星东契奇: 迈向历史最大顶薪合同之路两将替补更合适, 陈蒲先消耗对手, 山东泰山谨防国际比赛日后遗症问界M7又要上新 都有哪些变化内蒙古乌海:“五个结合”做细做实常态化联系退役军人工作24年,叶挺向李秀文提亲失败,未来岳父:你什么时候当了团长再来乌军7天阵亡近1万人, 俄军杀入恰索夫亚尔城内, 所到之处全炸平虎牢关时期, 谁能抵挡吕布100招? 仅2人可以, 关羽张飞赵云都不行堪比印钞机! 腾讯员工平均月薪8.3万元, 一季度还净赚419亿Uzi传奇杯首败后, 完成偷龙翻盘! 小伞彻底破防, icon生日夜沉默3950解禁之后a5还是这么能打?得了,预算不够的话还是选他把。迈从a5新加坡波音777客机遭严重乱流急降1死30伤 空乘和上厕所者伤势最重一穿二!哈马斯狙击手,使用两颗子弹精准狙击三名以军士兵辽宁三连冠! 500万大咖怒喷: 这是中国篮球的耻辱和悲哀奇瑞又搞大事了, 众筹决定价格?派林生物: 子公司获得静注人免疫球蛋白(10%)临床试验批准Steam账号无法通过遗产继承, 赛博遗产计划破灭
最新回复(0)