日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 生活百科 > >

Storm-0501黑客組織針對(duì)美國(guó)政府混合云環(huán)境發(fā)起攻擊

Storm-0501黑客組織針對(duì)美國(guó)政府混合云環(huán)境發(fā)起攻擊


近日 , 有一名為 Storm-0501 的威脅行為者以美國(guó)的政府、制造、運(yùn)輸和執(zhí)法部門(mén)為目標(biāo) , 發(fā)動(dòng)勒索軟件攻擊 。
微軟表示 , 這種多階段攻擊活動(dòng)旨在破壞混合云環(huán)境 , 并從內(nèi)部部署橫向移動(dòng)到云環(huán)境 , 最終導(dǎo)致數(shù)據(jù)外滲、憑證盜竊、篡改、持續(xù)后門(mén)訪(fǎng)問(wèn)和勒索軟件部署 。
微軟威脅情報(bào)團(tuán)隊(duì)人員稱(chēng) , Storm-0501 是一個(gè)有經(jīng)濟(jì)動(dòng)機(jī)的網(wǎng)絡(luò)犯罪團(tuán)伙 , 其主要使用商品和開(kāi)源工具進(jìn)行勒索軟件操作 。
該威脅行為體自2021年開(kāi)始活躍 , 曾利用Sabbath (54bb47h)勒索軟件以教育實(shí)體為目標(biāo) , 后來(lái)發(fā)展成為勒索軟件即服務(wù)(RaaS)聯(lián)盟 , 多年來(lái)提供各種勒索軟件有效載荷 , 包括Hive、BlackCat (ALPHV)、Hunters International、LockBit和Embargo勒索軟件 。
Storm-0501 攻擊的一個(gè)顯著特點(diǎn)是利用弱憑據(jù)和過(guò)度授權(quán)賬戶(hù)從企業(yè)內(nèi)部轉(zhuǎn)移到云基礎(chǔ)設(shè)施 。
其他初始訪(fǎng)問(wèn)方法包括使用 Storm-0249 和 Storm-0900 等訪(fǎng)問(wèn)代理已經(jīng)建立的立足點(diǎn) , 或利用 Zoho ManageEngine、Citrix NetScaler 和 Adobe ColdFusion 2016 等面向互聯(lián)網(wǎng)的服務(wù)器中未打補(bǔ)丁的各種已知遠(yuǎn)程代碼執(zhí)行漏洞 。
【Storm-0501黑客組織針對(duì)美國(guó)政府混合云環(huán)境發(fā)起攻擊】上述任何一種方法所提供的訪(fǎng)問(wèn)權(quán)限都可為廣泛的發(fā)現(xiàn)操作鋪平道路 , 以確定高價(jià)值資產(chǎn)、收集域信息并執(zhí)行活動(dòng)目錄偵察 。 隨后部署 AnyDesk 等遠(yuǎn)程監(jiān)控和管理工具 (RMM) , 以保持持久性 。
微軟表示:威脅者在初始訪(fǎng)問(wèn)時(shí)利用了其入侵的本地設(shè)備上的管理員權(quán)限 , 并試圖通過(guò)多種方法訪(fǎng)問(wèn)網(wǎng)絡(luò)中的更多賬戶(hù) 。
威脅者主要利用 Impacket 的 SecretsDump 模塊(通過(guò)網(wǎng)絡(luò)提取憑證) , 并在大量設(shè)備上利用該模塊獲取憑證 。
被攻破的憑據(jù)隨后被用于訪(fǎng)問(wèn)更多設(shè)備并提取更多憑據(jù) , 威脅者同時(shí)訪(fǎng)問(wèn)敏感文件以提取 KeePass 秘密 , 并進(jìn)行暴力攻擊以獲取特定賬戶(hù)的憑據(jù) 。
微軟表示 , 它檢測(cè)到 Storm-0501 使用 Cobalt Strike 在網(wǎng)絡(luò)中橫向移動(dòng)被入侵的憑據(jù)并發(fā)送后續(xù)命令 。 通過(guò)使用 Rclone 將數(shù)據(jù)傳輸?shù)?MegaSync 公共云存儲(chǔ)服務(wù) , 實(shí)現(xiàn)了內(nèi)部環(huán)境的數(shù)據(jù)外滲 。
據(jù)觀察 , 該威脅行為者還創(chuàng)建了對(duì)云環(huán)境的持續(xù)后門(mén)訪(fǎng)問(wèn) , 并將勒索軟件部署到內(nèi)部部署環(huán)境中 , 這是繼 Octo Tempest 和 Manatee Tempest 之后 , 最新針對(duì)混合云設(shè)置的威脅行為者 。
Redmond說(shuō):威脅者使用了從早先攻擊中竊取的憑證 , 特別是微軟Entra ID(前身為Azure AD) , 從內(nèi)部部署橫向移動(dòng)到云環(huán)境 , 并通過(guò)后門(mén)建立了對(duì)目標(biāo)網(wǎng)絡(luò)的持久訪(fǎng)問(wèn) 。
向云的轉(zhuǎn)移是通過(guò)一個(gè)被攻破的微軟 Entra Connect Sync 用戶(hù)賬戶(hù)或通過(guò)劫持一個(gè)內(nèi)部部署用戶(hù)賬戶(hù)的云會(huì)話(huà)來(lái)實(shí)現(xiàn)的 , 而這個(gè)內(nèi)部部署用戶(hù)賬戶(hù)在云中有一個(gè)各自的管理員賬戶(hù) , 并禁用了多因素身份驗(yàn)證(MFA) 。
在獲得足夠的網(wǎng)絡(luò)控制權(quán)、滲出相關(guān)文件并橫向移動(dòng)到云端后 , Embargo 勒索軟件就會(huì)在整個(gè)受害組織內(nèi)部署 , 從而將攻擊推向高潮 。 Embargo 是一種基于 Rust 的勒索軟件 , 于 2024 年 5 月首次被發(fā)現(xiàn) 。
微軟表示:Embargo背后的勒索軟件集團(tuán)以RaaS模式運(yùn)作 , 允許Storm-0501等附屬機(jī)構(gòu)使用其平臺(tái)發(fā)動(dòng)攻擊 , 以換取贖金分成 。
Embargo的附屬組織采用雙重勒索策略 , 他們首先加密受害者的文件 , 并威脅說(shuō)除非支付贖金 , 否則就會(huì)泄露竊取的敏感數(shù)據(jù) 。
盡管如此 , 根據(jù)Windows 制造商收集到的證據(jù)顯示 , 該威脅行為者并不總是采用發(fā)布勒索軟件的方式 , 而是在某些情況下選擇只保留網(wǎng)絡(luò)后門(mén)訪(fǎng)問(wèn)權(quán)限 。
在披露這一消息的同時(shí) , DragonForce 勒索軟件組織一直在利用泄露的 LockBit3.0 生成器變種和修改版 Conti 針對(duì)制造業(yè)、房地產(chǎn)和運(yùn)輸業(yè)的公司進(jìn)行攻擊 。
這些攻擊的特點(diǎn)是使用 SystemBC 后門(mén)進(jìn)行持久性攻擊 , 使用 Mimikatz 和 Cobalt Strike 進(jìn)行憑證收集 , 以及使用 Cobalt Strike 進(jìn)行橫向移動(dòng) 。 美國(guó)的受害者占受害者總數(shù)的 50%以上 , 其次是英國(guó)和澳大利亞 。
總部位于新加坡的 Group-IB 公司表示:該組織采用雙重勒索策略 , 對(duì)數(shù)據(jù)進(jìn)行加密 , 并威脅說(shuō)除非支付贖金 , 否則就會(huì)泄露數(shù)據(jù) 。 2024年6月26日啟動(dòng)的聯(lián)盟計(jì)劃向聯(lián)盟成員提供80%的贖金 , 以及用于攻擊管理和自動(dòng)化的工具 。

    推薦閱讀