التهديد الذي يشكله Storm-0501

ركزت مجموعة المجرمين الإلكترونيين المعروفة باسم Storm-0501 بشكل خاص على قطاعات مثل الحكومة والتصنيع والنقل وإنفاذ القانون داخل الولايات المتحدة لتنفيذ هجمات برامج الفدية. تهدف حملتهم متعددة المراحل إلى التسلل إلى بيئات السحابة الهجينة، وتسهيل الحركة الجانبية من الأنظمة المحلية إلى البنى التحتية السحابية. تؤدي هذه الاستراتيجية في النهاية إلى نتائج ضارة مختلفة، بما في ذلك تسريب البيانات وسرقة بيانات الاعتماد والتلاعب والوصول المستمر من الباب الخلفي ونشر برامج الفدية.

تطور Storm-0501

تعمل Storm-0501 بدوافع مالية في صميم أنشطتها، باستخدام أدوات تجارية ومفتوحة المصدر لتنفيذ عمليات برامج الفدية الخاصة بها. منذ عام 2021، استهدفت هذه المجموعة في البداية المؤسسات التعليمية باستخدام برنامج الفدية Sabbath (54bb47h). بمرور الوقت، انتقلت إلى نموذج Ransomware-as-a-Service (RaaS)، مما يوفر مجموعة من حمولات برامج الفدية. يتضمن ذخيرتهم الآن سلالات سيئة السمعة مختلفة مثل Hive و BlackCat (ALPHV) و Hunters International و LockBit و Embargo Ransomware .

متجهات الهجوم الأولية التي يستخدمها Storm-0501

من أهم خصائص عمليات Storm-0501 استغلالها لبيانات الاعتماد الضعيفة والحسابات ذات الامتيازات المفرطة، مما يمكنها من الانتقال من أنظمة المؤسسة المحلية إلى البنية التحتية السحابية بسلاسة.

بالإضافة إلى ذلك، يستخدمون طرق وصول أولية مختلفة، مثل الاستفادة من نقاط الوصول التي أنشأها وسطاء الوصول مثل Storm-0249 وStorm-0900. كما يستهدفون الخوادم غير المرقعة التي تواجه الإنترنت، ويستغلون نقاط الضعف المعروفة في تنفيذ التعليمات البرمجية عن بُعد في منصات مثل Zoho ManageEngine وCitrix NetScaler وAdobe ColdFusion 2016.

من خلال استخدام أي من هذه الطرق، تكتسب Storm-0501 الفرصة لإجراء استطلاع مكثف، مما يسمح لها بتحديد الأصول ذات القيمة العالية، وجمع معلومات المجال، وإجراء تحقيقات Active Directory. وعادةً ما يتبع هذه المرحلة تثبيت أدوات المراقبة والإدارة عن بُعد (RMMs) لضمان الوصول المستمر والاستمرار.

استغلال الامتيازات بواسطة Storm-0501

استغل الفاعل المهدد الامتيازات الإدارية التي حصل عليها من الأجهزة المحلية المخترقة أثناء مرحلة الوصول الأولية، محاولاً توسيع نطاق وصوله داخل الشبكة من خلال طرق مختلفة. في المقام الأول، استخدموا وحدة SecretsDump من Impacket، والتي تسهل استخراج بيانات الاعتماد عبر الشبكة، والاستفادة منها عبر مجموعة واسعة من الأجهزة لجمع معلومات تسجيل دخول قيمة.

بمجرد حصولهم على بيانات الاعتماد المخترقة، استخدمها الفاعلون في التسلل إلى أجهزة إضافية واستخراج المزيد من بيانات الاعتماد. وخلال هذه العملية، تمكنوا من الوصول إلى ملفات حساسة لاسترداد أسرار KeePass ونفذوا هجمات بالقوة الغاشمة للحصول على بيانات اعتماد للحسابات المستهدفة.

الحركة الجانبية وتسرب البيانات

لاحظ الباحثون أن Storm-0501 يستخدم Cobalt Strike للتحرك الجانبي داخل الشبكة، ويستخدم بيانات الاعتماد المسروقة لتنفيذ الأوامر اللاحقة. ولاستخراج البيانات من البيئة المحلية، استخدموا Rclone لنقل البيانات الحساسة إلى خدمة التخزين السحابي العامة MegaSync.

علاوة على ذلك، لوحظ أن المجموعة الفاعلية للتهديدات تعمل على إنشاء وصول خلفي مستمر إلى بيئات السحابة ونشر برامج الفدية على الأنظمة المحلية. وهذا يجعلها أحدث مجموعة فاعلة للتهديدات تركز على إعدادات السحابة الهجينة، على خطى مجموعات مثل Octo Tempest وManatee Tempest.

استهداف السحابة

استغل الفاعل التهديدي بيانات الاعتماد المحصودة، وخاصة تلك من Microsoft Entra ID (المعروف سابقًا باسم Azure AD)، لتسهيل الحركة الجانبية من الأنظمة المحلية إلى البيئات السحابية، مما أدى إلى إنشاء باب خلفي دائم للوصول المستمر إلى الشبكة المستهدفة.

يتم عادةً تحقيق هذا الانتقال إلى السحابة إما من خلال حساب مستخدم Microsoft Entra Connect Sync المخترق أو عن طريق اختطاف جلسة حساب مستخدم محلي يمتلك حساب مسؤول في السحابة، خاصةً إذا تم تعطيل المصادقة متعددة العوامل (MFA).

نشر برنامج الفدية Embargo

تبلغ الهجمة ذروتها بنشر برنامج الفدية Embargo في جميع أنحاء المؤسسة الضحية بمجرد أن يتمكن الفاعل من تأمين سيطرة كافية على الشبكة واستخراج الملفات المهمة بنجاح. تم التعرف على Embargo، وهو أحد متغيرات برنامج الفدية المستندة إلى Rust، لأول مرة في مايو 2024.

تعمل المجموعة التي تقف وراء Embargo وفقًا لنموذج Ransomware-as-a-Service (RaaS)، وتسمح للشركات التابعة مثل Storm-0501 باستخدام منصتها لشن هجمات مقابل نسبة من الفدية. تستخدم الشركات التابعة لـ Embargo تكتيكات الابتزاز المزدوجة، حيث تقوم بتشفير ملفات الضحية بينما تهدد في الوقت نفسه بإصدار بيانات حساسة تم حصادها ما لم يتم دفع الفدية.