Storm-0978 攻击揭示了金融和间谍动机

Microsoft 已确定由威胁行为者进行的网络钓鱼活动，该攻击者被跟踪为 Storm-0978，针对欧洲和北美的国防和政府实体。该活动涉及滥用 CVE-2023-36884，其中包括在通过 Word 文档向 Microsoft 披露之前利用的远程代码执行漏洞，使用与乌克兰世界大会相关的诱饵。

Storm-0978（DEV-0978;也被其他供应商称为 RomCom，其后门的名称）是一个总部位于俄罗斯的网络犯罪集团，以进行机会主义勒索软件和仅勒索操作而闻名，以及可能用于支持情报行动的有针对性的凭据收集活动。Storm-0978 运营、开发和分发 RomCom 后门。该行为者还部署了地下勒索软件，该勒索软件与 2022 年 5 月首次在野外观察到的 Industrial Spy 勒索软件密切相关。该演员在 2023 年 6 月发现的最新活动涉及滥用 CVE-2023-36884 来提供与 RomCom 相似的后门。

众所周知，Storm-0978 以使用流行合法软件的木马版本的组织为目标，导致安装 RomCom。Storm-0978 的针对性行动主要影响了乌克兰的政府和军事组织，以及可能参与乌克兰事务的欧洲和北美组织。已识别的勒索软件攻击影响了电信和金融行业等。

Microsoft 365 Defender检测Storm-0978活动的多个阶段。使用 Microsoft Defender for Office 365 的客户受到保护，免受试图利用 CVE-2023-36884 的附件的影响。此外，使用 Microsoft 365 应用版（版本 2302 及更高版本）的客户还可以通过 Office 防止利用此漏洞。无法利用这些保护的组织可以设置FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注册表项以避免被利用。此博客概述了更多缓解建议。

Microsoft 365 Defender正在成为Microsoft Defender XDR。了解更多。

针对

Storm-0978 使用与乌克兰政治事务相关的诱饵进行网络钓鱼操作，主要针对欧洲的军事和政府机构。根据 Microsoft 确定的入侵后活动，Storm-0978 将后门分发给目标组织，并可能窃取凭据以用于以后的目标操作。

相比之下，该行为者的勒索软件活动本质上是机会主义的，与以间谍为重点的目标完全分开。已识别的攻击已经影响了电信和金融行业。

工具和 TTP

工具

Storm-0978使用流行的合法软件的特洛伊木马版本，导致安装RomCom，Microsoft评估RomCom是由Storm-0978开发的。观察到的木马软件示例包括 Adobe 产品、Advanced IP Scanner、Solarwinds Network Performance Monitor、Solarwinds Orion、KeePass 和 Signal。为了托管特洛伊木马安装程序以供交付，Storm-0978 通常会注册模仿合法软件的恶意域（例如，恶意域 advanced-ip-scaner[.]com）。

在涉及勒索软件的出于经济动机的攻击中，Storm-0978 使用 Industrial Spy 勒索软件（一种于 2022 年 5 月首次在野外观察到的勒索软件）和 Underground 勒索软件。该行为者还在至少一次已确定的攻击中使用了 Trigona 勒索软件。

此外，根据归因的网络钓鱼活动，Storm-0978 还获得了针对零日漏洞的漏洞利用。已识别的漏洞利用活动包括滥用 CVE-2023-36884，包括 2023 年 6 月通过 Microsoft Word 文档利用的远程代码执行漏洞，以及滥用导致绕过安全功能的漏洞。

勒索软件活动

在已知的勒索软件入侵中，Storm-0978 通过使用 Windows 注册表从安全帐户管理器（SAM）转储密码哈希来访问凭据。要访问 SAM，攻击者必须获得 SYSTEM 级权限。Microsoft Defender for Endpoint通过导出SAM注册表配置单元等警报检测此类活动。

然后，Storm-0978 使用 Impacket 框架的 SMBExec 和 WMIExec 功能进行横向移动。

Microsoft已将Storm-0978与工业间谍勒索软件市场和加密器的先前管理联系起来。然而，早在 2023 年 7 月，Storm-0978 就开始使用一种名为 Underground 的勒索软件变体，其中包含与 Industrial Spy 勒索软件的大量代码重叠。

Screenshot of the Storm-0978 ransom note

图 1.Storm-0978 赎金记录引用了“地下团队”，并包含特定于目标的泄露信息详细信息

两种勒索软件变体之间的代码相似性，以及 Storm-0978 之前参与的工业间谍行动，可能表明 Underground 是工业间谍勒索软件的更名。

Screenshot of the underground ransomware .onion site

图2.地下勒索软件 .onion 网站

间谍活动

自 2022 年底以来，Microsoft 已确定以下可归因于 Storm-0978 的活动。根据入侵后的活动和目标的性质，这些行动很可能是由与间谍活动相关的动机驱动的：

2023 年 6 月 – Storm-0978 进行了一次网络钓鱼活动，其中包含一个虚假的 OneDrive 加载程序，以提供与 RomCom 相似的后门。这些网络钓鱼电子邮件被定向到欧洲和北美的国防和政府实体，诱饵与乌克兰世界大会有关。这些电子邮件导致通过 CVE-2023-36884 漏洞被利用。

Microsoft Defender for Office 365 检测到 Storm-0978 最初使用针对 CVE-2023-36884 的漏洞。下面详细介绍了特定于此漏洞的其他建议。

Screenshot of phishing email using Ukrainian World Congress and NATO themes

图3.Storm-0978 电子邮件使用乌克兰世界大会和北约主题

Screenshot of the lure document with Ukrainian World Congress and NATO content

图4.带有乌克兰世界大会和北约内容的 Storm-0978 诱饵文件

值得注意的是，在此活动中，Microsoft 使用相同的初始有效负载针对不相关的目标识别了并发的、单独的 Storm-0978 勒索软件活动。随后针对不同受害者的勒索软件活动进一步强调了在 Storm-0978 攻击中观察到的不同动机。

2022 年 12 月 – 根据 CERT-UA 的说法，Storm-0978 入侵了乌克兰国防部的电子邮件帐户以发送网络钓鱼电子邮件。电子邮件中附加的已识别诱饵 PDF 包含指向威胁行为者控制的网站的链接，该网站托管信息窃取恶意软件。

2022 年 10 月 – Storm-0978 创建了模仿合法软件的虚假安装程序网站，并将其用于网络钓鱼活动。该行为者以乌克兰政府和军事组织的用户为目标，以提供 RomCom，并可能获得高价值目标的凭据。

建议

Microsoft 建议采取以下缓解措施，以减少与 Storm-0978 操作关联的活动的影响。

在防病毒产品的 Microsoft Defender 防病毒或等效保护中启用云提供的保护，以涵盖快速发展的攻击者工具和技术。基于云的机器学习保护可阻止大多数新的和未知的变体。
在阻止模式下运行 EDR，以便 Microsoft Defender for Endpoint 可以阻止恶意项目，即使非 Microsoft 防病毒未检测到威胁或 Microsoft Defender 防病毒在被动模式下运行也是如此。块模式下的 EDR 在后台工作，以修正在违规后检测到的恶意项目。
在完全自动化模式下启用调查和修正，以允许 Microsoft Defender for Endpoint 对警报立即采取措施以解决违规问题，从而显著减少警报量。
使用 Microsoft Defender for Office 365 增强网络钓鱼防护，并覆盖新威胁和多态变体。Defender for Office 365 客户应确保为具有零小时自动清除（ZAP）的用户启用安全附件和安全链接保护，以便在 URL 在传递后被武器化时删除电子邮件。
Microsoft 365 Defender客户可以打开攻击面减少规则，以防止勒索软件攻击中使用的常见攻击技术：
- 阻止源自 PsExec 和 WMI 命令的进程创建 – 某些组织可能会在某些服务器系统上遇到此规则的兼容性问题，但应将其部署到其他系统，以防止源自 PsExec 和 WMI（包括 Impacket 的 WMIexec）的横向移动。
- 阻止可执行文件运行，除非它们满足流行率、期限或受信任列表条件
- 使用针对勒索软件的高级保护
- 阻止所有 Office 应用程序创建子进程

CVE-2023-36884 具体建议

2023 年 8 月 8 日更新：Microsoft 发布了安全更新以解决 CVE-2023-36884。建议客户尽快应用修补程序，这些修补程序将取代以下缓解措施。

使用 Microsoft Defender for Office 365 的客户受到保护，免受试图利用 CVE-2023-36884 的附件的影响。
此外，使用 Microsoft 365 应用版（版本 2302 及更高版本）的客户还可以通过 Office 防止利用此漏洞。
在当前的攻击链中，使用“阻止所有 Office 应用程序创建子进程攻击面减少”规则可防止漏洞被利用
无法利用这些保护的组织可以设置FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注册表项以避免被利用。
- 不需要重新启动操作系统，但建议重新启动已为其添加注册表项的应用程序，以防已查询并缓存该值。
- 请注意，虽然这些注册表设置可以缓解对此问题的利用，但它可能会影响与这些应用程序相关的某些用例的常规功能。因此，我们建议进行测试。若要禁用缓解措施，请删除注册表项或将其设置为“0”。

显示FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION键设置的注册表编辑器屏幕截图

图5.用于防止利用 CVE-2023-36884 的 FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION 键设置的屏幕截图

检测详细信息

Microsoft Defender for Office 365

Microsoft Defender for Office 365 客户受到保护，免受试图利用 CVE-2023-36884 的附件的影响。

Microsoft Defender 防病毒

Microsoft Defender 防病毒将此威胁的入侵后组件检测为以下恶意软件：

Microsoft Defender for Endpoint

安全中心中具有以下标题的警报可能指示网络上的威胁活动：

检测到新兴威胁活动组 Storm-0978

Microsoft哨兵

除了上面的 Microsoft 365 Defender 检测列表外，Microsoft Sentinel 还具有检测和威胁搜寻内容，客户可以使用这些内容来检测本博客中详述的利用后活动。

以下内容可用于识别此博客文章中描述的活动：

引用

Void Rabisu 对 RomCom 后门的使用表明威胁行为者的目标正在日益转变。趋势科技
工业间谍勒索软件的技术分析。ZScaler（ZS卡勒酒店）
证书-UA#6940。CERT-UA认证