勒索软件团伙使用窃取的 MS Entra ID 凭证侵入云端

Microsoft的最新威胁情报博客向所有组织发出有关Storm-0501最近在战术，定位和背面混合云环境的转变的警告。

使用一系列策略来实现其目标，Storm-0501倾向于通过云妥协来控制整个网络。成员首先在旋转到云之前，首先获得对本地环境的访问，植入后门以持续访问并部署勒索软件。

活跃起来，自2021年以来，Storm-0501仍被视为微软认为的新兴群体，因此，为仍在开发中的群体保留的“ Storm”命名公约。

尽管具有刚刚起步的地位，该小组还是作为Lockbit，Alphv，Hive和Hunters International International International Ransomware Affiliate计划的成员进行勒索软件攻击的多产。

Lockbit alphv Hive 猎人国际

最近，微软发现了它部署了禁运的勒索软件有效载荷，并将其与更具成熟的，具有财务动机的群体（例如Octo Tempest（Scacted Spider）和Manatee Tempest（Evil Corp）（Evil Corp）进行了比较。

octo tempest 海牛暴风雨

典型的Storm-0501攻击是相当标准的，这并没有很多惊喜。在许多情况下，初始访问经纪人（IAB）用于初始访问，而面向公共服务器的漏洞也可以在需要时利用。

在此阶段，该组的目标是过度私有的帐户，一旦其成员对这些成员的控制，他们通常会利用Impacket的SecretsDump模块来扫描其他凭证，以妥协更多的帐户。重复此过程，直到众多帐户在攻击者的控制下，并且在他们的理想世界中，这将包括多个域管理帐户。

旧的忠实钴打击用于横向运动，该钴通常以访问域控制器的访问而结束，随后是数据盗窃和勒索软件部署。

钴罢工 entra ID MFA 博客