Storm-0501 利用 Entra ID 在混合云攻击中窃取并删除 Azure 数据

据观察，以经济为目的的威胁行为者Storm-0501正在改进其策略，针对云环境进行数据泄露和勒索攻击。

微软威胁情报团队在与《黑客新闻》分享的一份报告中表示：“传统的本地勒索软件通常部署恶意软件，在受感染网络的端点之间加密关键文件，然后协商解密密钥，而基于云的勒索软件则带来了根本性的转变。”

“利用云原生功能，Storm-0501 可以快速窃取大量数据，破坏受害者环境中的数据和备份，并索要赎金——所有这些都无需依赖传统的恶意软件部署。”

微软大约一年前首次记录了Storm-0501 ，详细描述了其针对美国政府、制造、运输和执法部门的混合云勒索软件攻击，威胁行为者从本地转向云端，随后进行数据泄露、凭证盗窃和勒索软件部署。

据评估，该黑客组织自 2021 年开始活跃，多年来已发展成为勒索软件即服务 (RaaS) 附属机构，提供各种勒索软件负载，例如 Sabbath、Hive、BlackCat (ALPHV)、Hunters International、LockBit 和 Embargo。

网络安全
该公司表示：“Storm-0501 持续展现出在本地和云环境之间移动的熟练程度，体现了威胁行为者如何随着混合云应用的增长而不断调整策略。他们会在混合云环境中寻找非托管设备和安全漏洞，以逃避检测并提升云权限，在某些情况下，还会在多租户环境中遍历租户以实现其目标。”

典型的攻击链涉及威胁行为者滥用其初始访问权限来实现对域管理员的权限提升，然后进行内部横向移动和侦察步骤，使攻击者能够破坏目标的云环境，从而启动涉及持久性、权限提升、数据泄露、加密和勒索的多阶段序列。

根据微软的说法，初始访问是通过 Storm-0249 和 Storm-0900 等访问代理促成的入侵实现的，利用被盗、被泄露的凭证登录目标系统，或利用未修补的面向公众的服务器中各种已知的远程代码执行漏洞。

据称，在最近针对一家拥有多家子公司的未具名大型企业的攻击活动中，Storm-0501 在使用Evil-WinRM横向移动网络之前进行了侦察。攻击者还通过模拟域控制器的行为，实施了所谓的DCSync 攻击，从Active Directory中提取凭据。

微软表示：“利用他们在 Active Directory 环境中的立足点，他们在 Active Directory 域之间进行遍历，并最终横向移动，破坏了与不同的 Entra ID 租户和 Active Directory 域相关联的第二个 Entra Connect 服务器。”


“威胁行为者提取了目录同步帐户来重复侦察过程，这次的目标是第二个租户中的身份和资源。”

这些努力最终使 Storm-0501 能够识别出该租户中 Microsoft Entra ID 中具有全局管理员角色的非人类同步身份，并且该身份缺乏多因素身份验证 (MFA) 保护。这随后为攻击者重置用户本地密码打开了方便之门，导致其使用 Entra Connect Sync 服务同步到该用户的云身份。

利用被盗用的 Global Admin 帐户，数字入侵者可以访问 Azure 门户，将威胁行为者拥有的 Entra ID 租户注册为受信任的联合域以创建后门，然后提升他们对关键 Azure 资源的访问权限，最后为数据泄露和勒索做好准备。

身份安全风险评估
微软表示：“在完成渗透阶段后，Storm-0501 开始大规模删除包含受害组织数据的 Azure 资源，阻止受害者通过恢复数据采取补救和缓解措施。”

“在成功窃取并销毁 Azure 环境中的数据后，威胁行为者启动了勒索阶段，他们使用之前被感染的用户之一通过 Microsoft Teams 联系受害者，索要赎金。”

该公司表示，已对 Microsoft Entra ID 进行了更改，以防止威胁行为者滥用目录同步帐户来提升权限。此外，该公司还发布了 Microsoft Entra Connect（版本 2.5.3.0）的更新，以支持现代身份验证，允许客户配置基于应用程序的身份验证，从而增强安全性。

该科技巨头补充道：“在 Entra Connect Sync 服务器上启用可信平台模块 (TPM) 来安全存储敏感凭证和加密密钥也很重要，这样可以缓解 Storm-0501 的凭证提取技术。”