Storm0501 恐怖组织的 RaaS 攻击简介

关键要点

攻击目标：Storm0501 针对美国多个领域，包括政府、制造业、交通运输和执法机构。入侵手法：采用高级权限和 Impacket 的 SecretsDump 模块进行横向移动，提取凭据。防御建议：实施零信任策略，加强密码政策，强制使用强密码和多因素认证。

根据微软的威胁情报，名为 Storm0501 的勒索服务组织正在展开攻击，针对混合云环境进行入侵，实现从本地系统到云端的横向移动，进而导致数据外泄、凭证盗窃、持续后门存取及其他勒索攻击。该组织的行动引起了广泛关注，尤其是在政府及相关行业。

根据微软于 9 月 26 日的部落格文章，Storm0501 针对美国的多个行业进行攻击，包括政府、制造业、交通运输及执法机构。专家指出，Storm0501 作为一个以财利为驱动的网络犯罪团体，利用市面上普通的开源工具进行攻击活动。

自 2021 年以来，该组织最初针对学校区域展开攻击，随后演变为一个 RaaS 组织，并部署了多种勒索病毒，这些病毒由多个领先的威胁组织开发和维护，如 Hive、BlackCat/ALPHV、Hunters International、LockBit 和最新的 Embargo 勒索病毒。微软提到该组织最近也被观察到向美国医疗机构发动攻击。

攻击过程

Storm0501 的攻击手法包括利用其在本地设备上取得的管理权限，试图通过多种方法获取网络内部的其他帐户。主要手段为利用 Impacket 的 SecretsDump 模块，这是一个合法的 Python 脚本，用于密钥和哈希管理，攻击者使用它提取网络中的凭据，然后在多台设备上利用这些凭据。

Entro Security 的联合创始人兼首席执行官 Itzik Alvas 解释说，通过针对在云环境中使用的服务帐户非人类身份 NHI，Storm0501 能够使用 Impacket 的 SecretsDump 模组来进一步入侵其他 NHI。他指出，被盗的凭证还被用来直接联系遭受攻击组织的员工。

“Storm0501 的横向凭证攻击提醒各组织确保自己对其环境中的 NHI 拥有完整的可见性和上下文理解，” Alvas 说道。“根据 IBM 2024 年数据违规成本报告，平均需要超过 200 天来识别被盗的凭证，还需再额外两个月来抑制它们，因此及早解决这个问题至关重要。”

天行加速器下载

防御建议

鉴于混合云环境的复杂性和规模，我们看到如 Storm0501 等攻击者越来越多地将这些系统作为目标，原因在于这些系统拥有更大的攻击面和多个潜在的进入点。Keeper Security 的安全和架构副总裁 Patrick Tiquet 指出，安全团队需要采取全面的主动防御措施，以应对这些