ঝড়-০৫০১ হুমকি অভিনেতা

Storm-0501 নামে পরিচিত সাইবার অপরাধী গোষ্ঠী তাদের র‍্যানসমওয়্যার আক্রমণ চালানোর জন্য মার্কিন যুক্তরাষ্ট্রের মধ্যে সরকার, উত্পাদন, পরিবহন এবং আইন প্রয়োগকারীর মতো সেক্টরগুলিতে বিশেষভাবে দৃষ্টি নিবদ্ধ করেছে। তাদের বহু-পর্যায়ের প্রচারণার লক্ষ্য হাইব্রিড ক্লাউড পরিবেশে অনুপ্রবেশ করা, অন-প্রিমিসেস সিস্টেম থেকে ক্লাউড অবকাঠামোতে পার্শ্বীয় আন্দোলনকে সহজতর করা। এই কৌশলটি শেষ পর্যন্ত বিভিন্ন দূষিত ফলাফলের দিকে নিয়ে যায়, যার মধ্যে ডেটা এক্সফিল্ট্রেশন, শংসাপত্র চুরি, টেম্পারিং, ক্রমাগত ব্যাকডোর অ্যাক্সেস এবং র্যানসমওয়্যার স্থাপন সহ।

ঝড়-0501 এর বিবর্তন

Storm-0501 এর র‍্যানসমওয়্যার ক্রিয়াকলাপগুলি চালানোর জন্য বাণিজ্যিক এবং ওপেন-সোর্স উভয় সরঞ্জাম ব্যবহার করে এর কার্যক্রমের মূলে আর্থিক প্রেরণা নিয়ে কাজ করে। 2021 সাল থেকে সক্রিয়, এই গোষ্ঠীটি প্রাথমিকভাবে সাবাথ (54bb47h) Ransomware ব্যবহার করে শিক্ষা প্রতিষ্ঠানকে টার্গেট করেছে। সময়ের সাথে সাথে, তারা একটি Ransomware-as-a-Service (RaaS) মডেলে রূপান্তরিত হয়েছে, র‍্যানসমওয়্যার পেলোডের একটি পরিসর প্রদান করে। তাদের সংগ্রহশালায় এখন হাইভ, ব্ল্যাকক্যাট (ALPHV), হান্টার্স ইন্টারন্যাশনাল , লকবিট এবং এমবারগো র‍্যানসমওয়্যারের মতো বিভিন্ন কুখ্যাত স্ট্রেন অন্তর্ভুক্ত রয়েছে।

স্টর্ম-0501 দ্বারা ব্যবহৃত প্রাথমিক আক্রমণ ভেক্টর

Storm-0501-এর অপারেশনগুলির একটি উল্লেখযোগ্য বৈশিষ্ট্য হল তাদের দুর্বল শংসাপত্র এবং অতিরিক্ত সুবিধাপ্রাপ্ত অ্যাকাউন্টগুলির শোষণ, যা তাদের একটি প্রতিষ্ঠানের অন-প্রিমিসেস সিস্টেম থেকে ক্লাউড অবকাঠামোতে নির্বিঘ্নে রূপান্তর করতে সক্ষম করে।

উপরন্তু, তারা বিভিন্ন প্রাথমিক অ্যাক্সেস পদ্ধতি ব্যবহার করে, যেমন Storm-0249 এবং Storm-0900-এর মতো অ্যাক্সেস ব্রোকারদের দ্বারা প্রতিষ্ঠিত ফুটহোল্ডের সুবিধা। তারা জোহো ম্যানেজ ইঞ্জিন, সিট্রিক্স নেটস্ক্যালার এবং অ্যাডোব কোল্ডফিউশন 2016-এর মতো প্ল্যাটফর্মগুলিতে পরিচিত রিমোট কোড এক্সিকিউশন দুর্বলতাগুলিকে কাজে লাগিয়ে আনপ্যাচড ইন্টারনেট-মুখী সার্ভারগুলিকে লক্ষ্য করে।

এই পদ্ধতিগুলির যেকোনও ব্যবহার করে, Storm-0501 ব্যাপক পুনরুদ্ধার করার সুযোগ লাভ করে, যার ফলে তারা উচ্চ-মূল্যের সম্পদ শনাক্ত করতে, ডোমেনের তথ্য সংগ্রহ করতে এবং অ্যাক্টিভ ডিরেক্টরি তদন্ত করতে পারে। চলমান অ্যাক্সেস এবং অধ্যবসায় নিশ্চিত করার জন্য এই পর্যায়টি সাধারণত রিমোট মনিটরিং এবং ম্যানেজমেন্ট টুলস (RMMs) ইনস্টল করার দ্বারা অনুসরণ করা হয়।

Storm-0501 দ্বারা বিশেষাধিকার শোষণ

হুমকি অভিনেতা প্রাথমিক অ্যাক্সেস পর্বের সময় আপোসকৃত স্থানীয় ডিভাইসগুলি থেকে প্রাপ্ত প্রশাসনিক সুবিধাগুলিকে পুঁজি করে, বিভিন্ন পদ্ধতির মাধ্যমে নেটওয়ার্কের মধ্যে তাদের নাগাল প্রসারিত করার চেষ্টা করে। প্রাথমিকভাবে, তারা ইমপ্যাকেটের সিক্রেটসডাম্প মডিউল ব্যবহার করেছিল, যা নেটওয়ার্কের মাধ্যমে শংসাপত্রগুলি নিষ্কাশনের সুবিধা দেয়, মূল্যবান লগইন তথ্য সংগ্রহের জন্য এটিকে বিস্তৃত ডিভাইস জুড়ে ব্যবহার করে।

একবার তারা এই আপোসকৃত শংসাপত্রগুলি অর্জন করার পরে, হুমকি অভিনেতা তাদের অতিরিক্ত ডিভাইসে অনুপ্রবেশ করতে এবং আরও শংসাপত্র বের করতে ব্যবহার করেছিলেন। এই প্রক্রিয়া চলাকালীন, তারা KeePass গোপনীয়তা পুনরুদ্ধার করার জন্য সংবেদনশীল ফাইলগুলি অ্যাক্সেস করেছিল এবং লক্ষ্যযুক্ত অ্যাকাউন্টগুলির জন্য শংসাপত্রগুলি পেতে ব্রুট-ফোর্স আক্রমণ চালায়।

পার্শ্বীয় আন্দোলন এবং ডেটা এক্সফিল্ট্রেশন

গবেষকরা পর্যবেক্ষণ করেছেন যে Storm-0501 নেটওয়ার্কের মধ্যে পার্শ্বীয় আন্দোলনের জন্য কোবাল্ট স্ট্রাইক ব্যবহার করে, ফলো-অন কমান্ডগুলি চালানোর জন্য চুরি করা শংসাপত্রগুলি নিয়োগ করে। অন-প্রিমিসেস পরিবেশ থেকে ডেটা উত্তোলনের জন্য, তারা মেগাসিঙ্ক পাবলিক ক্লাউড স্টোরেজ পরিষেবাতে সংবেদনশীল ডেটা স্থানান্তর করতে Rclone ব্যবহার করেছে।

অধিকন্তু, হুমকি অভিনেতাকে ক্লাউড পরিবেশে অবিরাম ব্যাকডোর অ্যাক্সেস স্থাপন এবং অন-প্রিমিসেস সিস্টেমে র্যানসমওয়্যার স্থাপনের জন্য উল্লেখ করা হয়েছে। অক্টো টেম্পেস্ট এবং মানাটি টেম্পেস্টের মতো গোষ্ঠীগুলির পদাঙ্ক অনুসরণ করে হাইব্রিড ক্লাউড সেটআপগুলিতে ফোকাস করার জন্য এটি তাদের সর্বশেষ হুমকি অভিনেতা হিসাবে চিহ্নিত করে৷

মেঘ লক্ষ্য করা

হুমকি অভিনেতা ফসলের শংসাপত্রগুলি, বিশেষ করে মাইক্রোসফ্ট এন্ট্রা আইডি (পূর্বে Azure AD) থেকে, অন-প্রিমিসেস সিস্টেম থেকে ক্লাউড পরিবেশে পাশ্বর্ীয় চলাচলের সুবিধার্থে, টার্গেট নেটওয়ার্কে চলমান অ্যাক্সেসের জন্য একটি স্থায়ী ব্যাকডোর স্থাপন করে।

ক্লাউডে এই রূপান্তরটি সাধারণত একটি আপস করা Microsoft Entra Connect Sync ব্যবহারকারী অ্যাকাউন্টের মাধ্যমে বা ক্লাউডে একটি অ্যাডমিন অ্যাকাউন্টের অধিকারী একটি অন-প্রিমিসেস ব্যবহারকারী অ্যাকাউন্টের সেশন হাইজ্যাক করার মাধ্যমে অর্জন করা হয়, বিশেষ করে যদি মাল্টি-ফ্যাক্টর প্রমাণীকরণ (MFA) অক্ষম করা হয় .

Embargo Ransomware এর স্থাপনা

হুমকি অভিনেতা নেটওয়ার্কের উপর পর্যাপ্ত নিয়ন্ত্রণ এবং আগ্রহের ফাইলগুলি সফলভাবে উত্তোলন করার পর আক্রমণটি পুরো ভিকটিম সংস্থা জুড়ে Embargo ransomware স্থাপনের মধ্যে শেষ হয়। Embargo, একটি মরিচা-ভিত্তিক ransomware ভেরিয়েন্ট, প্রথম মে 2024 সালে চিহ্নিত করা হয়েছিল।

একটি Ransomware-as-a-Service (RaaS) মডেলের অধীনে কাজ করে, Embargo-এর পিছনে থাকা গোষ্ঠী Storm-0501-এর মতো সহযোগীদের মুক্তিপণের শতাংশের বিনিময়ে আক্রমণ শুরু করার জন্য তার প্ল্যাটফর্ম ব্যবহার করার অনুমতি দেয়। নিষেধাজ্ঞার সহযোগীরা দ্বৈত চাঁদাবাজির কৌশল ব্যবহার করে, শিকারের ফাইলগুলিকে এনক্রিপ্ট করে একই সাথে সংবেদনশীল সংগ্রহ করা ডেটা ছেড়ে দেওয়ার হুমকি দেয় যদি না মুক্তিপণ প্রদান করা হয়।