新威胁——微软详细说明Storm-0501如何利用云平台传播勒索软件

微软威胁情报发布了最新研究，揭示了以经济利益为驱动的攻击者 Storm-0501 如何从传统的勒索软件部署转向云原生勒索软件操作。

Storm-0501 以早期针对美国学校和医疗保健机构的活动而闻名，它迅速发展，适应混合云环境，并利用企业安全可见性方面的关键漏洞。

Storm-0501不再仅仅依赖恶意软件来加密本地端点，而是滥用云原生功能。他们采用的现代方法包括大规模数据窃取、删除备份、入侵Azure资源，然后进行勒索。

这一转变标志着勒索软件威胁形势的升级，有效的管理凭证和云服务本身取代了对持久性恶意软件的需求。

袭击是如何展开的

在最近的攻击事件中，Storm-0501首先通过入侵域管理员帐户，进而攻击了Active Directory (AD)。随后，他们利用同步服务器漏洞，将攻击目标转向了Microsoft Entra ID（原Azure AD）。

一项关键策略是攻破 Entra Connect Sync 目录同步帐户 (DSA)，从而可以使用 AzureHound 等工具枚举云资源。

Storm-0501 勒索软件

Storm-0501 本地攻击链

微软威胁情报发布了最新研究，揭示了以经济利益为驱动的攻击者 Storm-0501 如何从传统的勒索软件部署转向云原生勒索软件操作。

Storm-0501 以早期针对美国学校和医疗保健机构的活动而闻名，它迅速发展，适应混合云环境，并利用企业安全可见性方面的关键漏洞。

Storm-0501不再仅仅依赖恶意软件来加密本地端点，而是滥用云原生功能。他们采用的现代方法包括大规模数据窃取、删除备份、入侵Azure资源，然后进行勒索。

这一转变标志着勒索软件威胁形势的升级，有效的管理凭证和云服务本身取代了对持久性恶意软件的需求。

袭击是如何展开的

在最近的攻击事件中，Storm-0501首先通过入侵域管理员帐户，进而攻击了Active Directory (AD)。随后，他们利用同步服务器漏洞，将攻击目标转向了Microsoft Entra ID（原Azure AD）。

一项关键策略是攻破 Entra Connect Sync 目录同步帐户 (DSA)，从而可以使用 AzureHound 等工具枚举云资源。

该团伙随后利用一个配置错误的、未启用多因素身份验证 (MFA) 的非人类全局管理员帐户提升了权限。他们通过在本地重置该帐户的密码（密码重置通过云同步传播），获得了完整的 Entra ID 访问权限。

条件访问策略减缓了攻击速度，但 Storm-0501 通过在混合加入的设备之间横向移动来绕过限制，直到它们验证了以全局管理员身份登录。

一旦进入系统内部，攻击者便通过在 AADInternals 注册恶意联合域来建立持久性，从而使攻击者能够使用安全断言标记语言 (SAML) 令牌冒充合法用户。

Storm-0501 勒索软件

Storm-0501 云身份和云环境遭到入侵，导致勒索

Storm-0501 使用 Microsoft.Authorization/elevateAccess/action 将权限进一步提升到多个 Azure 订阅中的用户访问管理员和所有者角色，从而授予了不受限制的控制权。

随后，他们开始了数据发现和窃取行动。他们使用 AzCopy CLI 访问并传输敏感数据。为了彻底破坏恢复机制，他们滥用合法的Azure API，批量删除了快照、还原点、存储帐户和恢复服务保管库。

当遇到删除保护机制时，攻击者试图破坏不可变性策略和资源锁定。对于剩余资产，他们将客户管理的密钥部署到新的 Azure Key Vault 中，加密 Blob，然后删除这些密钥——从而有效地阻止了受害者访问。

微软指出，最终阶段的勒索通常直接通过被盗用的 Microsoft Teams 帐户发送的消息进行。

缓解指南

微软强调了以下几项应对措施：强制执行全面的端点监控，部署云防御者和存储防御者，强制所有特权帐户使用 MFA（最好是防钓鱼方法），通过条件访问限制 DSA 帐户，以及对备份应用 Azure 不可变性和清除保护。

分析结果凸显了一个令人担忧的趋势：Storm-0501 利用合法的云功能和错误配置，使其操作比传统的基于恶意软件的勒索软件更隐蔽、更难以检测。

随着混合云的普及，各组织必须为这波新的云原生勒索软件浪潮做好准备。

一旦进入系统内部，攻击者便通过在 AADInternals 注册恶意联合域来建立持久性，从而使攻击者能够使用安全断言标记语言 (SAML) 令牌冒充合法用户。

Storm-0501 使用 Microsoft.Authorization/elevateAccess/action 将权限进一步提升到多个 Azure 订阅中的用户访问管理员和所有者角色，从而授予了不受限制的控制权。

随后，他们开始了数据发现和窃取行动。他们使用 AzCopy CLI 访问并传输敏感数据。为了彻底破坏恢复机制，他们滥用合法的 Azure API，批量删除了快照、还原点、存储帐户和恢复服务保管库。

当遇到删除保护机制时，攻击者试图破坏不可变性策略和资源锁定。对于剩余资产，他们将客户管理的密钥部署到新的 Azure Key Vault 中，加密 Blob，然后删除这些密钥——从而有效地阻止了受害者访问。

微软指出，最终阶段的勒索通常直接通过被盗用的 Microsoft Teams 帐户发送的消息进行。

缓解指南

微软强调了几项应对措施：强制执行全面的端点监控，部署云 Defender 和存储 Defender，强制所有特权帐户使用MFA（最好是防钓鱼方法），通过条件访问限制 DSA 帐户，以及对备份应用 Azure 不可变性和清除保护。

分析结果凸显了一个令人担忧的趋势：Storm-0501 利用合法的云功能和错误配置，使其操作比传统的基于恶意软件的勒索软件更隐蔽、更难以检测。

随着混合云的普及，各组织必须为这波新的云原生勒索软件浪潮做好准备。