Storm-0501 Threat Актьор
Киберпрестъпната група, известна като Storm-0501, се фокусира специално върху сектори като правителството, производството, транспорта и правоприлагането в Съединените щати, за да изпълни своите атаки с ransomware. Тяхната многоетапна кампания има за цел да проникне в хибридни облачни среди, улеснявайки страничното движение от локални системи към облачни инфраструктури. Тази стратегия в крайна сметка води до различни злонамерени резултати, включително кражба на данни, кражба на идентификационни данни, подправяне, постоянен достъп през задната вратичка и внедряване на ransomware.
Съдържание
Еволюцията на Storm-0501
Storm-0501 оперира с финансови мотиви в основата на своите дейности, като използва както търговски, така и инструменти с отворен код, за да извършва своите операции с ransomware. Активна от 2021 г., тази група първоначално е насочена към образователни институции, използващи Sabbath (54bb47h) Ransomware. С течение на времето те преминаха към модел Ransomware-as-a-Service (RaaS), предоставяйки набор от полезни натоварвания на рансъмуер. Техният репертоар сега включва различни известни щамове като Hive, BlackCat (ALPHV), Hunters International , LockBit и Embargo Ransomware .
Първоначални вектори на атака, използвани от Storm-0501
Една важна характеристика на операциите на Storm-0501 е тяхното използване на слаби идентификационни данни и свръхпривилегировани акаунти, което им позволява безпроблемно да преминат от локални системи на организация към облачни инфраструктури.
Освен това те използват различни първоначални методи за достъп, като например използване на опорни точки, установени от брокери за достъп като Storm-0249 и Storm-0900. Те също така са насочени към сървъри, насочени към интернет без корекции, като използват известни уязвимости при отдалечено изпълнение на код в платформи като Zoho ManageEngine, Citrix NetScaler и Adobe ColdFusion 2016.
Използвайки който и да е от тези методи, Storm-0501 получава възможността да провежда широко разузнаване, което им позволява да идентифицират активи с висока стойност, да събират информация за домейни и да извършват разследвания на Active Directory. Тази фаза обикновено е последвана от инсталирането на инструменти за отдалечено наблюдение и управление (RMM), за да се осигури непрекъснат достъп и постоянство.
Използване на привилегии от Storm-0501
Актьорът на заплахата се възползва от административни привилегии, получени от компрометирани локални устройства по време на първоначалната фаза на достъп, опитвайки се да разшири техния обхват в мрежата чрез различни методи. Основно те използваха модула SecretsDump на Impacket, който улеснява извличането на идентификационни данни през мрежата, като го използва в широк набор от устройства за събиране на ценна информация за влизане.
След като придобиха тези компрометирани идентификационни данни, заплахата ги използва, за да проникне в допълнителни устройства и да извлече повече идентификационни данни. По време на този процес те са имали достъп до чувствителни файлове, за да извлекат тайните на KeePass и са извършили атаки с груба сила, за да получат идентификационни данни за целеви акаунти.
Странично движение и ексфилтрация на данни
Изследователите са наблюдавали Storm-0501 да използва Cobalt Strike за странично движение в мрежата, като използва откраднатите идентификационни данни за изпълнение на последващи команди. За ексфилтриране на данни от локалната среда те използваха Rclone за прехвърляне на чувствителни данни към публичната услуга за съхранение в облак MegaSync.
Освен това, заплахата е забелязана за установяване на постоянен задник достъп до облачни среди и внедряване на ransomware на локални системи. Това ги маркира като най-новата заплаха, която се фокусира върху хибридни облачни настройки, следвайки стъпките на групи като Octo Tempest и Manatee Tempest.
Насочване към облака
Актьорът на заплахата е използвал събрани идентификационни данни, особено тези от Microsoft Entra ID (бивш Azure AD), за да улесни страничното движение от локални системи към облачни среди, като създаде постоянна задна врата за постоянен достъп до целевата мрежа.
Този преход към облака обикновено се постига или чрез компрометиран потребителски акаунт на Microsoft Entra Connect Sync, или чрез отвличане на сесията на локален потребителски акаунт, който притежава администраторски акаунт в облака, особено ако многофакторното удостоверяване (MFA) е деактивирано .
Внедряване на Embargo Ransomware
Атаката кулминира в внедряването на Embargo рансъмуер в цялата организация на жертвата, след като заплахата е осигурила достатъчен контрол над мрежата и успешно ексфилтрирала файловете, представляващи интерес. Embargo, базиран на Rust вариант на рансъмуер, беше идентифициран за първи път през май 2024 г.
Работейки по модел Ransomware-as-a-Service (RaaS), групата зад Embargo позволява на филиали като Storm-0501 да използват нейната платформа за стартиране на атаки в замяна на процент от откупа. Филиалите на Embargo използват двойна тактика за изнудване, като криптират файловете на жертвата, като същевременно заплашват да освободят чувствителни събрани данни, освен ако не бъде платен откупът.
