【安全资讯】勒索软件团伙滥用微软Azure工具进行数据盗窃

概要：

近期，勒索软件团伙如BianLian和Rhysida开始滥用微软的Azure Storage Explorer和AzCopy工具，从受感染的网络中窃取数据并存储在Azure Blob存储中。这一趋势表明勒索软件操作中对数据盗窃的关注日益增加，成为威胁行为者在勒索阶段的主要筹码。

主要内容：

网络安全公司modePUSH观察到，勒索软件团伙利用Azure Storage Explorer和AzCopy工具将窃取的数据存储在云端的Azure Blob容器中，随后威胁行为者可以将这些数据转移到自己的存储中。Azure Storage Explorer是一个用于管理微软Azure的图形用户界面工具，而AzCopy则是一个命令行工具，能够实现大规模数据传输。

研究人员指出，攻击者需要额外的工作来使Azure Storage Explorer正常运行，包括安装依赖项和升级.NET到版本8。这表明勒索软件操作中对数据盗窃的关注日益增加，成为威胁行为者在勒索阶段的主要筹码。Azure作为一个受信任的企业级服务，通常不会被企业防火墙和安全工具阻止，因此通过Azure进行的数据传输更有可能通过并且不被检测到。

modePUSH表示，勒索软件行为者使用多个Azure Storage Explorer实例将文件上传到Blob容器中，从而尽可能加快这一过程。研究人员发现，威胁行为者在使用Storage Explorer和AzCopy时启用了默认的“Info”级别日志记录，这在%USERPROFILE%\.azcopy中创建了一个日志文件。该日志文件对事件响应人员特别有价值，因为它包含了文件操作的信息，允许调查人员快速确定被盗数据和可能引入的其他负载。

防御措施包括监控AzCopy的执行情况、对Azure Blob存储端点的出站网络流量进行监控，并对关键服务器上的文件复制或访问的异常模式设置警报。如果组织已经在使用Azure，建议检查“退出时注销”选项，以便在退出应用程序时自动注销，从而防止攻击者利用活动会话进行文件盗窃。