Storm-0501 Trusselskuespiller
Den cyberkriminelle gruppe kendt som Storm-0501 har specifikt fokuseret på sektorer som regering, fremstilling, transport og retshåndhævelse i USA for at udføre deres ransomware-angreb. Deres kampagne i flere stadier har til formål at infiltrere hybride cloud-miljøer og lette lateral bevægelse fra lokale systemer til cloud-infrastrukturer. Denne strategi fører i sidste ende til forskellige ondsindede resultater, herunder dataeksfiltrering, legitimationstyveri, manipulation, vedvarende bagdørsadgang og implementering af ransomware.
Indholdsfortegnelse
Udviklingen af Storm-0501
Storm-0501 opererer med økonomiske motiver i kernen af sine aktiviteter og bruger både kommercielle og open source-værktøjer til at udføre sine ransomware-operationer. Denne gruppe, som har været aktiv siden 2021, var oprindeligt målrettet mod uddannelsesinstitutioner ved hjælp af Sabbath (54bb47h) Ransomware. Med tiden er de gået over til en Ransomware-as-a-Service-model (RaaS), der giver en række ransomware-nyttelaster. Deres repertoire inkluderer nu forskellige berygtede stammer såsom Hive, BlackCat (ALPHV), Hunters International , LockBit og Embargo Ransomware .
Indledende angrebsvektorer brugt af Storm-0501
Et væsentligt kendetegn ved Storm-0501's operationer er deres udnyttelse af svage legitimationsoplysninger og overprivilegerede konti, som gør dem i stand til problemfrit at skifte fra en organisations lokale systemer til cloud-infrastrukturer.
Derudover anvender de forskellige indledende adgangsmetoder, såsom at udnytte fodfæste etableret af adgangsmæglere som Storm-0249 og Storm-0900. De er også rettet mod ikke-patchede internetservere og udnytter kendte sårbarheder i fjernudførelse af kode på platforme som Zoho ManageEngine, Citrix NetScaler og Adobe ColdFusion 2016.
Ved at bruge en af disse metoder får Storm-0501 muligheden for at udføre omfattende rekognoscering, hvilket giver dem mulighed for at identificere værdifulde aktiver, indsamle domæneoplysninger og udføre Active Directory-undersøgelser. Denne fase efterfølges typisk af installation af fjernovervågnings- og administrationsværktøjer (RMM'er) for at sikre løbende adgang og vedholdenhed.
Udnyttelse af privilegier af Storm-0501
Trusselsaktøren udnyttede administrative privilegier opnået fra kompromitterede lokale enheder i den indledende adgangsfase og forsøgte at udvide deres rækkevidde inden for netværket ved hjælp af forskellige metoder. Primært brugte de Impackets SecretsDump-modul, som letter udtrækningen af legitimationsoplysninger over netværket og udnyttede det på tværs af en bred vifte af enheder til at indsamle værdifulde loginoplysninger.
Når de først havde erhvervet disse kompromitterede legitimationsoplysninger, brugte trusselsaktøren dem til at infiltrere yderligere enheder og udtrække flere legitimationsoplysninger. Under denne proces fik de adgang til følsomme filer for at hente KeePass-hemmeligheder og udførte brute-force-angreb for at opnå legitimationsoplysninger til målrettede konti.
Lateral bevægelse og dataeksfiltrering
Forskere har observeret, at Storm-0501 bruger Cobalt Strike til sideværts bevægelse inden for netværket, idet de bruger de stjålne legitimationsoplysninger til at udføre opfølgende kommandoer. Til dataeksfiltrering fra det lokale miljø brugte de Rclone til at overføre følsomme data til MegaSync offentlige cloud-lagringstjeneste.
Desuden er trusselsaktøren blevet bemærket for at etablere vedvarende bagdørsadgang til cloudmiljøer og implementere ransomware på lokale systemer. Dette markerer dem som den seneste trusselsaktør, der fokuserer på hybride cloud-opsætninger og følger i fodsporene på grupper som Octo Tempest og Manatee Tempest.
Målretning mod skyen
Trusselsaktøren udnyttede indsamlede legitimationsoplysninger, især dem fra Microsoft Entra ID (tidligere Azure AD), for at lette lateral bevægelse fra lokale systemer til skymiljøer, hvilket etablerede en vedvarende bagdør for løbende adgang til målnetværket.
Denne overgang til skyen opnås typisk enten via en kompromitteret Microsoft Entra Connect Sync-brugerkonto eller ved at kapre sessionen af en lokal brugerkonto, der har en admin-konto i skyen, især hvis multi-factor authentication (MFA) er deaktiveret .
Implementering af Embargo Ransomware
Angrebet kulminerer i udrulningen af Embargo ransomware i hele offerorganisationen, når trusselsaktøren har sikret tilstrækkelig kontrol over netværket og succesfuldt eksfiltreret filer af interesse. Embargo, en Rust-baseret ransomware-variant, blev først identificeret i maj 2024.
Gruppen bag Embargo, der opererer under en Ransomware-as-a-Service (RaaS) model, tillader datterselskaber som Storm-0501 at bruge sin platform til at iværksætte angreb i bytte for en procentdel af løsesummen. Embargo-tilknyttede selskaber anvender dobbelt afpresningstaktik, krypterer et offers filer, mens de samtidig truer med at frigive følsomme indsamlede data, medmindre løsesummen betales.
