微软揭露黑客组织Storm-0501最新一波的攻击行动，这些黑客锁定美国政府机关、制造业、交通运输、执法部门发动多阶段攻击，破坏混合云环境，并从本地横向移动到云端，从而外泄受害组织数据、窃取帐密数据、部署后门程序及勒索软件。

研究人员特别提及，这些黑客利用薄弱的凭证及权限过高的帐号，而能从受害组织的内部环境转移到云端环境。黑客先是窃得凭证用来控制内部网络环境，最终在云端环境设置能持续运作的后门程序，并将勒索软件植入组织内部。

究竟黑客如何入侵受害组织，主要从初始入侵管道掮客Storm-0249、Storm-0900得到相关信息，借由外流的帐密数据，或是尚未修补漏洞并曝露于互联网的应用系统而得逞。在最近的攻击行动里，研究人员看到对方利用的漏洞，包括：Zoho ManageEngine漏洞CVE-2022-47966、Citrix NetScaler漏洞CVE-2023-4966，以及Adobe ColdFusion 2016漏洞CVE-2023-29300或CVE-2023-38203。

一旦攻击者成功入侵，并取得代码运行的权限，就会进行广泛的侦察，利用Windows公用程序及开源工具，寻找高价值资产及网域信息，在部分攻击行动里，黑客使用PowerShell脚本对AD进行侦察。完成后，他们会部署Level.io、AnyDesk、NinjaOne等多种远程监管工具（RMM），以便持续存取受害设备。

接着，黑客借由受害电脑的管理员权限，利用网络侦察工具Impacket的模块SecretsDump，挖掘其他帐号的存取权限。此外，这些黑客也企图从密码管理工具KeePass，窃取相关机密数据。

而对于黑客横向移动的方式，研究人员指出是通过Cobalt Strike进行，借由偷来的凭证与这套工具提供的C2功能（Cobalt Strike Beacon）连接所有端点进行通信，然后以网域管理员权限控制网域控制器，最终于受害组织网络环境部署勒索软件。

值得留意的是，黑客在近期的活动里，通过Entra ID（原Azure AD）横向移动到云端环境，并借由后门持续存取，其中他们滥用Entra Connect（原Azure AD Connect）的同步组件，而能同时挖掘本机与云端同步帐号的帐密数据，在部分攻击行动里，攻击者会停用多因素验证（MFA）的网域管理员，挟持云端连接阶段（Session）以达到目的。