【安全资讯】Storm-0501黑客组织针对混合云环境发起攻击
概要:
微软最新的威胁情报博客向各组织发出警告,关于Storm-0501最近在战术、目标和对混合云环境植入后门的方法上的变化。自2021年活跃以来,Storm-0501已多次利用勒索软件对全球范围内进行攻击。主要内容:
Storm-0501首先通过获取本地环境的访问权限,然后转向云环境,植入后门以获得持久访问并部署勒索软件。微软发现,Storm-0501在最近的攻击中部署了Embargo勒索软件,并对其成员的活动进行了详细分析,指出该组织的攻击方式包括利用高权限账号,使用Impacket的SecretsDump模块获取额外凭证,并通过Cobalt Strike进行横向移动。该组织在凭证收集阶段使用窃取的Entra ID凭证,借此从本地环境转向云环境并植入后门。攻击者利用两种方法控制Entra ID,首先是通过入侵Entra Connect Sync服务账户获取加密凭证。进一步分析表明,攻击者通过使用Impacket窃取凭证和DPAPI加密密钥,以及篡改安全产品,成功实现了这一点。
另一种方法是利用在云端未开启多重身份验证(MFA)的本地域管理员账户进行攻击,这使得攻击者能够轻松获取云环境的高权限。Storm-0501通过创建联邦域来实现持久访问,一旦目标系统彻底被攻陷并数据被窃取,便开始勒索软件的部署。然而,并非所有攻击都会导致勒索软件的实施,有些攻击仅在后门建立后便停止。
微软提醒,开启多重身份验证(MFA)可以显著增加攻击难度,降低成功率。警惕Storm-0501的攻击策略和不断发展的威胁特征,采取适当的防御措施是必要的。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享