近期網路威脅情勢出現重大變化,以營利為目的的網攻組織「Storm-0501」已將攻擊重心轉向雲端環境,採用全新的資料竊取和勒索策略。微軟威脅情報團隊最新報告顯示,這種雲端勒索手法與傳統內部部署勒索軟體存在根本性差異,對企業資安防護帶來前所未有的挑戰。
雲端勒索攻擊的技術革新
傳統勒索軟體攻擊模式相對單純:駭客在被入侵網路的終端設備上部署惡意程式,加密關鍵檔案後要求贖金換取解密金鑰。然而,Storm-0501採用的雲端原生技術能夠快速竊取大量資料、破壞受害環境中的資料和備份,並直接發出勒索要求,整個過程完全不需要依賴傳統惡意軟體的部署。
這種攻擊手法的機會主義特性使得任何產業都可能成為目標,包括學校、醫療機構等關鍵基礎設施組織都已遭受攻擊。Storm-0501自2021年開始活躍,目前已演變為勒索軟體即服務(RaaS)的附屬組織,散布包括Sabbath、Hive、BlackCat(ALPHV)、Hunters International、LockBit及Embargo等多種勒索軟體。
微軟威脅情報團隊觀察到的最新攻擊案例顯示,Storm-0501的攻擊流程具有高度技術含量:
- 初始入侵階段:駭客利用Microsoft Defender部署的漏洞,成功入侵多個Active Directory網域和Entra租戶,隨後竊取目錄同步帳戶(DSA)。
- 橫向移動與權限提升:攻擊者使用AzureHound等工具列舉使用者、角色及Azure資源,最終發現未啟用多因素驗證(MFA)的全域管理員帳戶,透過重設密碼取得完整管理控制權。
- 建立持久性後門:取得權限後,攻擊者新增受其控制的惡意聯合網域,使其能夠冒充任何使用者並有效繞過MFA防護機制。
- 完全接管雲端環境:駭客進一步濫用Microsoft.Authorization/elevateAccess/action機制提升Azure權限,最終將自己指派為「擁有者」(Owner)角色,實質上完全接管受害者的整個Azure環境。
掌控雲端環境後,Storm-0501立即關閉防禦機制,從Azure Storage帳戶竊取敏感資料,並嘗試銷毀儲存快照、還原點、Recovery Services保存庫和儲存帳戶,防止目標企業在不支付贖金的情況下恢復資料。
當無法直接刪除復原服務中的資料時,攻擊者採用雲端加密策略,建立新的金鑰保存庫(Key Vault)和客戶管理金鑰(CMK),以新金鑰加密資料,使企業除非支付贖金否則無法存取資料。
完成資料竊取和破壞後,Storm-0501透過被入侵的帳號在Microsoft Teams上直接聯繫受害者並發送贖金要求。
資安防護建議與未來趨勢
面對這種新型威脅,微軟在報告中提供了完整的防護建議,包括Microsoft Defender XDR的偵測機制,以及協助識別此類威脅行為者戰術的搜尋查詢。
值得關注的是,隨著企業對傳統勒索軟體加密攻擊的防護能力日益增強,預期將有更多威脅行為者轉向雲端資料竊取和加密手法,因為這些技術更難被偵測和阻擋,對企業雲端安全策略提出更嚴峻的考驗。
企業組織應立即檢視雲端環境的安全配置,確保多因素驗證覆蓋所有管理員帳戶,並建立完善的雲端資產監控機制,以應對這波新興的雲端勒索威脅。
本文轉載自 TheHackerNews、BleepingComputer。