Storm-0501 Threat Actor
Skupina kyberzločinců známá jako Storm-0501 se konkrétně zaměřila na sektory, jako je vláda, výroba, doprava a vymáhání práva ve Spojených státech, aby provedla své ransomwarové útoky. Jejich vícestupňová kampaň si klade za cíl proniknout do hybridních cloudových prostředí a usnadnit tak laterální přesun z místních systémů do cloudových infrastruktur. Tato strategie nakonec vede k různým škodlivým výsledkům, včetně exfiltrace dat, krádeže pověření, manipulace, trvalého přístupu zadními vrátky a nasazení ransomwaru.
Obsah
Evoluce bouře-0501
Storm-0501 pracuje s finanční motivací v jádru svých aktivit a k provádění svých ransomwarových operací využívá komerční i open source nástroje. Tato skupina, která působí od roku 2021, se původně zaměřovala na vzdělávací instituce používající Sabbath (54bb47h) Ransomware. Postupem času přešly na model Ransomware-as-a-Service (RaaS), který poskytuje řadu užitečných zatížení ransomwaru. Jejich repertoár nyní zahrnuje různé notoricky známé kmeny jako Hive, BlackCat (ALPHV), Hunters International , LockBit a Embargo Ransomware .
Počáteční útočné vektory využívané Storm-0501
Jednou z významných charakteristik operací Storm-0501 je jejich využívání slabých přihlašovacích údajů a nadměrně privilegovaných účtů, což jim umožňuje bezproblémový přechod z místních systémů organizace na cloudové infrastruktury.
Kromě toho využívají různé metody počátečního přístupu, jako je využití opor vytvořených makléři přístupu jako Storm-0249 a Storm-0900. Zaměřují se také na neopravené internetové servery a využívají známé zranitelnosti vzdáleného spouštění kódu na platformách jako Zoho ManageEngine, Citrix NetScaler a Adobe ColdFusion 2016.
Využitím kterékoli z těchto metod získává Storm-0501 příležitost provádět rozsáhlý průzkum, což jim umožňuje identifikovat vysoce hodnotná aktiva, shromažďovat informace o doméně a provádět vyšetřování Active Directory. Po této fázi obvykle následuje instalace nástrojů pro vzdálené monitorování a správu (RMM), aby byl zajištěn trvalý přístup a stálost.
Využití privilegií pomocí Storm-0501
Aktér ohrožení vydělával na administrátorských oprávněních získaných z kompromitovaných místních zařízení během počáteční fáze přístupu a pokoušel se rozšířit jejich dosah v rámci sítě různými metodami. Primárně použili Impacket's SecretsDump modul, který usnadňuje extrakci přihlašovacích údajů přes síť a využívá je v široké řadě zařízení ke shromažďování cenných přihlašovacích informací.
Jakmile získali tyto kompromitované přihlašovací údaje, aktér hrozby je použil k infiltraci dalších zařízení a extrahování dalších přihlašovacích údajů. Během tohoto procesu přistupovali k citlivým souborům, aby získali tajemství KeePass, a prováděli útoky hrubou silou, aby získali přihlašovací údaje pro cílené účty.
Laterální pohyb a exfiltrace dat
Výzkumníci pozorovali, jak Storm-0501 využívá Cobalt Strike k bočnímu pohybu v rámci sítě a využívá ukradené přihlašovací údaje k provádění následných příkazů. Pro exfiltraci dat z on-premise prostředí využili Rclone k přenosu citlivých dat do služby veřejného cloudového úložiště MegaSync.
Kromě toho byl aktér hrozeb známý zaváděním trvalého přístupu backdoor do cloudových prostředí a zaváděním ransomwaru na místní systémy. To je označuje jako nejnovějšího aktéra v oblasti hrozeb, který se zaměřuje na hybridní cloudová nastavení, ve stopách skupin jako Octo Tempest a Manatee Tempest.
Cílení na cloud
Aktér ohrožení využil získané přihlašovací údaje, zejména ty z Microsoft Entra ID (dříve Azure AD), k usnadnění laterálního přesunu z místních systémů do cloudových prostředí a vytvořil tak trvalá zadní vrátka pro trvalý přístup k cílové síti.
Tohoto přechodu do cloudu je obvykle dosaženo buď prostřednictvím kompromitovaného uživatelského účtu Microsoft Entra Connect Sync nebo únosem relace místního uživatelského účtu, který má účet správce v cloudu, zejména pokud je zakázáno vícefaktorové ověřování (MFA). .
Nasazení ransomwaru Embargo
Útok vyvrcholí rozmístěním ransomwaru Embargo v celé organizaci obětí, jakmile si aktér hrozby zajistil dostatečnou kontrolu nad sítí a úspěšně exfiltroval soubory, které nás zajímají. Embargo, varianta ransomwaru založená na Rustu, byla poprvé identifikována v květnu 2024.
Skupina stojící za Embargem, která funguje na základě modelu Ransomware-as-a-Service (RaaS), umožňuje přidruženým společnostem, jako je Storm-0501, využívat svou platformu pro spouštění útoků výměnou za procento výkupného. Přidružené společnosti embarga používají dvojitou vyděračskou taktiku, zašifrují soubory obětí a zároveň vyhrožují, že uvolní citlivá získaná data, pokud nebude zaplaceno výkupné.
