Microsoft 最新的威胁情报博客向所有组织发出警告，指出 Storm-0501 最近在策略、目标和后门混合云环境方面的转变。

Storm-0501 使用一系列策略来实现其目标，倾向于通过云入侵来控制整个网络。成员首先可以访问本地环境，然后再转向云、植入后门以实现持久访问并部署勒索软件。

自 2021 年以来，Storm-0501 一直活跃在 Microsoft 看来仍然被视为一个新兴的组，因此“Storm”命名约定是为仍在发展中的组保留的。

尽管地位初出茅庐，但作为 LockBit、ALPHV、Hive 和 Hunters International 勒索软件附属计划的成员，该组织在实施勒索软件攻击方面一直多产。

最近，Microsoft 发现它部署了 Embargo 的勒索软件有效载荷，并将其与更成熟、出于经济动机的团体进行了单独比较，例如 Octo Tempest （Scattered Spider） 和 Manatee Tempest （Evil Corp）。

典型的 Storm-0501 攻击是相当标准的——没有太多的惊喜。在许多情况下，初始访问代理 （IAB） 用于初始访问，而面向公众的服务器中的漏洞也会在需要时被利用。

在此阶段，该组织以权限过高的帐户为目标，一旦其成员获得了对这些帐户的控制权，他们通常会利用 Impacket 的 SecretsDump 模块来扫描可用于入侵更多帐户的其他凭据。此过程会重复进行，直到攻击者控制了大量帐户，在他们的理想环境中，这将包括多个 Domain Admin 帐户。

老忠实的 Cobalt Strike 用于横向移动，这通常以访问域控制器以及随后的数据盗窃和勒索软件部署而告终。

然而，最近的攻击让研究人员有理由感到担忧。在凭据收集阶段，Storm-0501 使用被盗的 Entra ID 凭据从本地转移到云环境，在那里他们将继续植入后门。

攻击者采用两种不同的方法来获得对 Entra ID 的控制权，第一种是入侵 Entra Connect Sync 服务帐户，其凭据以加密形式保存在服务器的磁盘或远程 SQL 服务器上。

“我们可以非常有信心地评估，在最近的 Storm-0501 活动中，威胁行为者专门定位了 Microsoft Entra Connect Sync 服务器，并设法提取了 Microsoft Entra Connect 云和本地同步帐户的纯文本凭据，”Microsoft 写道。

“我们评估认为，威胁行为者之所以能够实现这一目标，是因为本博客文章中描述的先前恶意活动，例如使用 Impacket 窃取凭据和 DPAPI 加密密钥，以及篡改安全产品。

“Microsoft Entra Connect Sync 帐户的泄露给目标带来了高风险，因为它可能允许威胁行为者设置或更改任何混合帐户（同步到 Microsoft Entra ID 的本地帐户）的 Microsoft Entra ID 密码。”

Storm-0501 用于成功转向云的另一种策略是入侵本地域管理员帐户，该帐户在云中具有等效帐户，该帐户不受 MFA 保护，并且还带有全局管理员角色。

同步服务不适用于 Entra 中的此类帐户，因此攻击者必须足够幸运地找到一个既不受 MFA 保护又使用与本地帐户相同密码的帐户。

启用 MFA 会使这种攻击途径更加复杂，并且不太可能成功。在这种情况下，攻击者必须篡改 MFA 保护本身，或者采取额外的步骤来破坏用户的设备，并劫持其云会话或提取 Entra 访问令牌。

无论 Storm-0501 采用哪种方式，它通常都会导致通过创建联合域来植入后门以实现持久访问，从而允许它以任何 Entra ID 租户用户的身份进行身份验证。

一旦目标被彻底入侵并且其数据被窃取，勒索软件就会出现，或者不会。虽然 Storm-0501 现在选择了 Embargo 的有效载荷，它遵循典型的双重勒索模型，但并非所有攻击都会导致勒索软件部署。Microsoft 在其博客中表示，有些攻击在建立后门后才停止，其中还包括威胁搜寻技巧和大量入侵指标。