勒索软件团伙利用混合云漏洞，在企业攻击中获取 Azure 完全控制权

微软警告称，以经济利益为驱动的威胁组织Storm-0501已调整其攻击策略，将重点转向针对云环境进行数据窃取和勒索。

至少自2021年起开始活跃的Storm-0501，因在针对本地和混合云环境的攻击中使用多种勒索软件家族而闻名，包括Sabbath、Alphv/BlackCat、Hive、Hunters International、LockBit以及Embargo。

去年，该黑客组织通过入侵Active Directory环境，转而攻击Entra ID，将权限提升至全局管理员，在Entra ID租户配置中植入后门，并部署本地勒索软件以加密文件。

在最近一次针对大型企业的攻击中，该威胁行为者使用了类似手法：它入侵了多个Active Directory域，进行侦察以识别受保护的端点并规避检测，并利用Evil-WinRM这一利用后工具进行横向移动。

随后，Storm-0501攻陷了一台Entra Connect Sync服务器，并伪装成域控制器以请求域用户的密码哈希值。它还枚举了用户、角色和Azure资源，并尝试以多个特权用户身份登录。

登录尝试失败后，黑客随后在不同的Active Directory域之间穿梭，攻陷了另一台Entra Connect服务器，识别出一个在Entra ID中拥有全局管理员权限的非人类同步身份，并重置其密码以访问该账户。

微软解释道：“因此，威胁行为者能够使用新密码以该用户身份向Entra ID进行身份验证。由于该用户未注册MFA，在使用新分配的密码成功验证后，威胁行为者被直接引导至在其控制下注册一个新的MFA方法。”

在识别出一台Microsoft Entra混合联接设备后，Storm-0501得以以全局管理员身份访问Azure门户，从而获得了对云域的完全控制权。它立即通过注册一个新的Entra ID租户部署了后门，使其能够以任何用户身份登录。

在获得顶级的Entra ID权限后，黑客将其权限提升为受害者所有Azure订阅的“所有者”Azure角色，实质上接管了整个Azure环境。

微软指出：“我们评估认为，威胁行为者使用各种技术（包括使用AzureHound工具）启动了一个全面的发现阶段，试图定位组织的关键资产，包括包含敏感信息的数据存储，以及用于备份本地和云端点设备的数据存储资源。”

攻击者还瞄准了Azure存储账户，滥用Azure“所有者”角色窃取其访问密钥，然后将无法通过互联网访问的账户暴露到互联网及其自身基础设施中，随后使用AzCopy命令行工具（CLI）进行数据外泄。

窃取数据后，黑客开始大规模删除数据以防止补救措施。他们还试图删除那些保护数据免遭删除的防护措施，并对无法删除的资源实施基于云的加密。

微软称：“在成功外泄并销毁Azure环境中的数据后，威胁行为者启动了勒索阶段，他们使用先前已入侵的一个用户账户通过Microsoft Teams联系受害者，要求支付赎金。”

这家科技巨头还指出，Storm-0501在入侵受害者的云环境后，依赖云原生命令和功能来执行侦察、横向移动、凭据外泄、权限提升以及数据外泄、删除和加密。

公司强调：“Storm-0501持续展现出在本地和云环境之间移动的熟练能力，这例证了随着混合云采用率的增长，威胁行为者是如何适应的。他们寻找混合云环境中未受管理的设备和安全漏洞以规避检测并提升云权限，在某些情况下，还会在多租户设置中穿梭租户以达到其目标。”

消息来源：securityweek；

本文由 HackerNews.cc 翻译整理，封面来源于网络；