【安全资讯】Storm-0501黑客组织针对混合云环境发起攻击

概要：

微软最新的威胁情报博客向各组织发出警告，关于Storm-0501最近在战术、目标和对混合云环境植入后门的方法上的变化。自2021年活跃以来，Storm-0501已多次利用勒索软件对全球范围内进行攻击。

主要内容：

Storm-0501首先通过获取本地环境的访问权限，然后转向云环境，植入后门以获得持久访问并部署勒索软件。微软发现，Storm-0501在最近的攻击中部署了Embargo勒索软件，并对其成员的活动进行了详细分析，指出该组织的攻击方式包括利用高权限账号，使用Impacket的SecretsDump模块获取额外凭证，并通过Cobalt Strike进行横向移动。

该组织在凭证收集阶段使用窃取的Entra ID凭证，借此从本地环境转向云环境并植入后门。攻击者利用两种方法控制Entra ID，首先是通过入侵Entra Connect Sync服务账户获取加密凭证。进一步分析表明，攻击者通过使用Impacket窃取凭证和DPAPI加密密钥，以及篡改安全产品，成功实现了这一点。

另一种方法是利用在云端未开启多重身份验证（MFA）的本地域管理员账户进行攻击，这使得攻击者能够轻松获取云环境的高权限。Storm-0501通过创建联邦域来实现持久访问，一旦目标系统彻底被攻陷并数据被窃取，便开始勒索软件的部署。然而，并非所有攻击都会导致勒索软件的实施，有些攻击仅在后门建立后便停止。

微软提醒，开启多重身份验证（MFA）可以显著增加攻击难度，降低成功率。警惕Storm-0501的攻击策略和不断发展的威胁特征，采取适当的防御措施是必要的。