无恶意软件勒索:Storm-0501如何转向云原生攻击

Storm-0501基于云的勒索攻击链概览 | 图片来源:微软

微软威胁情报部门最新研究显示,以经济利益为目的的威胁组织Storm-0501已将其勒索软件攻击模式从传统本地部署系统显著转向云原生攻击。报告警告称,该组织"持续优化攻击活动,将重点聚焦于基于云的战术、技术和程序(TTPs)"。

攻击模式转型

该组织曾以针对混合环境闻名,现已突破传统终端加密方式,转而利用云原生工具的规模和速度优势。微软指出:"与传统本地部署勒索软件不同...基于云的勒索软件带来了根本性转变。Storm-0501利用云原生能力,无需依赖传统恶意软件部署,就能快速窃取海量数据、破坏受害者环境中的数据和备份,并实施勒索。"

这种转变最早出现在2021年,当时该组织使用Sabbath勒索软件攻击美国学区系统;2023年又将目标转向医疗行业;2024年则在多起高调攻击中使用了Embargo勒索软件。

攻击链分析

微软在最新调查中追踪了该组织针对一家拥有复杂Active Directory和Azure环境的跨国企业的完整攻击链:

  • 本地立足点:获取域管理员权限,滥用Evil-WinRM等工具进行横向移动,并通过DCSync攻击提取密码哈希且未被发现
  • 转向云端:利用被入侵的Entra Connect Sync服务器,使用AzureHound枚举云资源。虽然条件访问策略最初阻挡了攻击,但该组织发现了一个具有全局管理员权限且未启用MFA的非人类同步身份,通过重置其本地密码获得完整云控制权
  • 持久化机制:通过恶意添加联合域到Entra ID建立后门,使其能够使用伪造的SAML令牌冒充几乎所有用户
  • Azure利用:凭借全局管理员权限,逐步提升至用户访问管理员,最终获取所有Azure订阅的Owner角色,定位关键存储和备份资源
  • 影响阶段 :滥用合法Azure操作:
    • 使用AzCopy外泄数据
    • 通过Microsoft.Storage/storageAccounts/delete等操作删除备份和存储账户
    • 尝试通过新建密钥保管库和加密范围实施基于云的加密

云勒索新特征

微软总结称:"在基于云的勒索攻击中,云特性与能力使威胁行为者能够快速外泄和传输大量数据,破坏受害者云环境中的数据和备份资源,然后实施勒索。"值得注意的是,Storm-0501在勒索阶段还通过Microsoft Teams以被入侵用户身份直接联系受害者。

Storm-0501的演变表明勒索软件组织正在适应混合云和云优先的世界。通过滥用合法Azure操作和利用身份管理漏洞,他们无需恶意软件就能造成毁灭性后果。

相关推荐
智慧景区与市集主理人1 小时前
巨有科技智慧康养|避开康养文旅内卷,做能变现的疗愈数字化
大数据·人工智能·科技
至乐活着1 小时前
Spring Boot 3.x核心特性深度解析:拥抱Java 17与云原生时代
spring boot·云原生·graalvm·java 17·虚拟线程
峥嵘life1 小时前
Repo 常用操作手册
大数据·elasticsearch·搜索引擎
ZeekerLin2 小时前
AI 原生开发落地路线图:从个人提效到团队体系化
大数据·人工智能
FJW0208142 小时前
阿里云RDS数据库账号创建案例
云原生
科技圈快迅2 小时前
解决续费痛点,轻量化AI订阅替代方案深度解读
大数据·人工智能
山峰哥2 小时前
‌Explain实战:打开数据库执行计划的黑盒‌
大数据·服务器·数据库·sql·深度优先·宽度优先
A hao3 小时前
HDR LED显示屏工作原理:高动态范围显示技术解析
大数据·图像处理·人工智能
回眸&啤酒鸭3 小时前
【回眸】搞钱灵感——AI 数字人口播博主自动化运营
大数据·人工智能·自动化
AC赳赳老秦3 小时前
Excel 动态仪表盘制作:用 OpenClaw 自动处理数据、生成交互式图表并实时更新仪表盘
大数据·服务器·后端·测试用例·excel·deepseek·openclaw