被称为 Storm-0501 的威胁行为者以美国的政府、制造、运输和执法部门为目标,发动勒索软件攻击。
Microsoft 表示,多阶段攻击活动旨在破坏混合云环境并执行从本地到云环境的横向移动,最终导致数据泄露、凭据盗窃、篡改、持续后门访问和勒索软件部署。
“Storm-0501 是一个受经济动机的网络犯罪集团,它使用商品和开源工具进行勒索软件操作,”这家科技巨头的威胁情报团队表示。
自 2021 年以来,该威胁行为者一直活跃在使用 Sabbath (54bb47h) 勒索软件针对教育实体,然后演变为勒索软件即服务 (RaaS) 附属公司,多年来提供各种勒索软件有效载荷,包括 Hive、BlackCat (ALPHV)、Hunters International、LockBit 和 Embargo 勒索软件。
Storm-0501 攻击的一个显著方面是使用弱凭证和特权过高的账户从本地组织迁移到云基础设施。
其他初始访问方法包括使用 Storm-0249 和 Storm-0900 等访问代理已经建立的立足点,或利用未修补的面向 Internet 的服务器(如 Zoho ManageEngine、Citrix NetScaler 和 Adobe ColdFusion 2016)中的各种已知远程代码执行漏洞。
上述任何方法提供的访问权限都为广泛的发现操作铺平了道路,以确定高价值资产、收集域信息和执行 Active Directory 侦查。接下来是部署远程监控和管理工具 (RMM),如 AnyDesk 以保持持久性。
“威胁行为者利用了它在初始访问期间入侵的本地设备上的管理员权限,并试图通过多种方法访问网络内的更多帐户,”Microsoft 表示。
“威胁行为者主要利用 Impacket 的 SecretsDump 模块,该模块通过网络提取凭据,并在大量设备上利用它来获取凭据。”
然后,泄露的凭据用于访问更多设备并提取其他凭据,威胁行为者同时访问敏感文件以提取 KeePass 机密,并进行暴力攻击以获取特定帐户的凭据。
来源:【黑客新闻网】
原文始发于微信公众号(船山信安):Microsoft 将 Storm-0501 确定为混合云勒索软件攻击中的主要威胁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论