Storm-0501 威脅演員

名為 Storm-0501 的網路犯罪組織專門針對美國境內的政府、製造業、交通運輸和執法部門等部門實施勒索軟體攻擊。他們的多階段活動旨在滲透混合雲環境，促進從本地系統到雲端基礎設施的橫向移動。這種策略最終會導致各種惡意結果，包括資料外洩、憑證竊取、篡改、持續後門存取和勒索軟體部署。

Storm-0501的進化

Storm-0501 的活動以經濟動機為核心，利用商業和開源工具來執行勒索軟體操作。該組織自 2021 年以來一直活躍，最初使用 Sabbath (54bb47h) 勒索軟體以教育機構為目標。隨著時間的推移，他們已經轉變為勒索軟體即服務 (RaaS) 模型，提供一系列勒索軟體有效負載。他們的曲目現在包括各種臭名昭著的病毒，例如 Hive、 BlackCat (ALPHV)、 Hunters International 、 LockBit和Embargo Ransomware 。

Storm-0501 使用的初始攻擊向量

Storm-0501 作業的一個顯著特徵是利用弱憑證和特權過高的帳戶，這使他們能夠從組織的本機系統無縫過渡到雲端基礎設施。

此外，他們還採用各種初始存取方法，例如利用 Storm-0249 和 Storm-0900 等訪問代理程式建立的立足點。他們還針對未修補的面向互聯網的伺服器，利用 Zoho ManageEngine、Citrix NetScaler 和 Adobe ColdFusion 2016 等平台中已知的遠端程式碼執行漏洞。

透過利用這些方法中的任何一種，Storm-0501 都有機會進行廣泛的偵察，從而使他們能夠識別高價值資產、收集網域資訊並執行 Active Directory 調查。此階段之後通常是安裝遠端監控和管理工具 (RMM)，以確保持續存取和持久性。

Storm-0501 對特權的利用

威脅行為者在初始存取階段利用從受感染的本地設備獲得的管理權限，嘗試透過各種方法擴大其在網路中的影響範圍。首先，他們使用了 Impacket 的 SecretsDump 模組，該模組有助於透過網路提取憑證，並在各種設備上利用它來收集有價值的登入資訊。

一旦獲得這些洩露的憑證，威脅行為者就會利用它們滲透到其他設備並提取更多憑證。在此過程中，他們會存取敏感文件以檢索 KeePass 機密，並執行暴力攻擊以取得目標帳戶的憑證。

橫向移動和資料洩露

研究人員觀察到 Storm-0501 利用Cobalt Strike在網路內進行橫向移動，利用竊取的憑證執行後續命令。為了從本地環境竊取數據，他們利用 Rclone 將敏感數據傳輸到 MegaSync 公有雲儲存服務。

此外，威脅行為者因建立對雲端環境的持久後門存取並在本機系統上部署勒索軟體而聞名。這標誌著他們追隨 Octo Tempest 和 Manatee Tempest 等組織的腳步，成為最新關注混合雲設定的威脅參與者。

瞄準雲

威脅行為者利用所取得的憑證，特別是來自 Microsoft Entra ID（以前稱為 Azure AD）的憑證，促進從本機系統到雲端環境的橫向移動，為持續存取目標網路建立持久後門。

這種向雲端的過渡通常是透過受損的 Microsoft Entra Connect Sync 使用者帳戶或劫持在雲端中擁有管理員帳戶的本機使用者帳戶的會話來實現的，特別是在禁用多重驗證 (MFA) 的情況下。

Embargo 勒索軟體的部署

一旦威脅行為者獲得了對網路的充分控制並成功竊取了感興趣的文件，攻擊就會在整個受害組織中部署 Embargo 勒索軟體。 Embargo 是一種基於 Rust 的勒索軟體變體，於 2024 年 5 月首次被發現。

Embargo 背後的組織採用勒索軟體即服務 (RaaS) 模式運營，允許 Storm-0501 等附屬機構利用其平台發動攻擊，以換取一定比例的贖金。禁運附屬機構採用雙重勒索策略，對受害者的文件進行加密，同時威脅要釋放敏感的收集數據，除非支付贖金。