Storm-0501 Threat Actor
Η ομάδα κυβερνοεγκληματικών που είναι γνωστή ως Storm-0501 έχει επικεντρωθεί ειδικά σε τομείς όπως η κυβέρνηση, η κατασκευή, οι μεταφορές και η επιβολή του νόμου στις Ηνωμένες Πολιτείες για να εκτελέσει τις επιθέσεις ransomware. Η πολυεπίπεδη καμπάνια τους στοχεύει να διεισδύσει σε υβριδικά περιβάλλοντα cloud, διευκολύνοντας την πλευρική μετακίνηση από συστήματα εσωτερικού χώρου σε υποδομές cloud. Αυτή η στρατηγική οδηγεί τελικά σε διάφορα κακόβουλα αποτελέσματα, συμπεριλαμβανομένης της διείσδυσης δεδομένων, της κλοπής διαπιστευτηρίων, της παραβίασης, της επίμονης πρόσβασης σε κερκόπορτα και της ανάπτυξης ransomware.
Πίνακας περιεχομένων
The Evolution of Storm-0501
Το Storm-0501 λειτουργεί με οικονομικά κίνητρα στον πυρήνα των δραστηριοτήτων του, χρησιμοποιώντας τόσο εμπορικά όσο και εργαλεία ανοιχτού κώδικα για να πραγματοποιήσει τις λειτουργίες του ransomware. Ενεργός από το 2021, αυτή η ομάδα στόχευε αρχικά εκπαιδευτικά ιδρύματα χρησιμοποιώντας το Sabbath (54bb47h) Ransomware. Με την πάροδο του χρόνου, έχουν μετατραπεί σε ένα μοντέλο Ransomware-as-a-Service (RaaS), παρέχοντας μια σειρά από ωφέλιμα φορτία ransomware. Το ρεπερτόριό τους περιλαμβάνει πλέον διάφορα διαβόητα στελέχη όπως Hive, BlackCat (ALPHV), Hunters International , LockBit και το Embargo Ransomware .
Initial Attack Vectors Utilized by Storm-0501
Ένα σημαντικό χαρακτηριστικό των λειτουργιών του Storm-0501 είναι η εκμετάλλευση αδύναμων διαπιστευτηρίων και υπερπρονομιακών λογαριασμών, που τους επιτρέπει να μεταβαίνουν απρόσκοπτα από τα συστήματα εσωτερικού ενός οργανισμού σε υποδομές cloud.
Επιπλέον, χρησιμοποιούν διάφορες μεθόδους αρχικής πρόσβασης, όπως η μόχλευση θέσεων που έχουν δημιουργηθεί από μεσίτες πρόσβασης όπως το Storm-0249 και το Storm-0900. Στοχεύουν επίσης μη επιδιορθωμένους διακομιστές που αντιμετωπίζουν το Διαδίκτυο, εκμεταλλευόμενοι γνωστά τρωτά σημεία εκτέλεσης απομακρυσμένου κώδικα σε πλατφόρμες όπως το Zoho ManageEngine, το Citrix NetScaler και το Adobe ColdFusion 2016.
Χρησιμοποιώντας οποιαδήποτε από αυτές τις μεθόδους, το Storm-0501 αποκτά την ευκαιρία να πραγματοποιήσει εκτεταμένες αναγνωρίσεις, επιτρέποντάς τους να εντοπίζουν περιουσιακά στοιχεία υψηλής αξίας, να συλλέγουν πληροφορίες τομέα και να εκτελούν έρευνες Active Directory. Αυτή η φάση ακολουθείται τυπικά από την εγκατάσταση εργαλείων απομακρυσμένης παρακολούθησης και διαχείρισης (RMM) για τη διασφάλιση της συνεχούς πρόσβασης και της επιμονής.
Εκμετάλλευση προνομίων από το Storm-0501
Ο παράγοντας απειλής αξιοποίησε τα δικαιώματα διαχείρισης που αποκτήθηκαν από παραβιασμένες τοπικές συσκευές κατά την αρχική φάση πρόσβασης, προσπαθώντας να επεκτείνει την εμβέλειά τους εντός του δικτύου μέσω διαφόρων μεθόδων. Κυρίως, χρησιμοποίησαν τη μονάδα SecretsDump του Impacket, η οποία διευκολύνει την εξαγωγή διαπιστευτηρίων μέσω του δικτύου, αξιοποιώντας την σε μια ευρεία γκάμα συσκευών για τη συλλογή πολύτιμων πληροφοριών σύνδεσης.
Μόλις απέκτησαν αυτά τα παραβιασμένα διαπιστευτήρια, ο παράγοντας απειλής τα χρησιμοποίησε για να διεισδύσει σε πρόσθετες συσκευές και να εξαγάγει περισσότερα διαπιστευτήρια. Κατά τη διάρκεια αυτής της διαδικασίας, είχαν πρόσβαση σε ευαίσθητα αρχεία για να ανακτήσουν τα μυστικά του KeePass και εκτέλεσαν επιθέσεις brute-force για να αποκτήσουν διαπιστευτήρια για στοχευμένους λογαριασμούς.
Πλευρική Μετακίνηση και Διήθηση Δεδομένων
Οι ερευνητές παρατήρησαν ότι το Storm-0501 χρησιμοποιεί το Cobalt Strike για πλευρική κίνηση εντός του δικτύου, χρησιμοποιώντας τα κλεμμένα διαπιστευτήρια για την εκτέλεση εντολών συνέχειας. Για την εξαγωγή δεδομένων από το περιβάλλον εσωτερικής εγκατάστασης, χρησιμοποίησαν το Rclone για τη μεταφορά ευαίσθητων δεδομένων στη δημόσια υπηρεσία αποθήκευσης cloud MegaSync.
Επιπλέον, ο παράγοντας απειλής έχει επισημανθεί για την καθιέρωση μόνιμης κερκόπορτας πρόσβασης σε περιβάλλοντα cloud και την ανάπτυξη ransomware σε συστήματα εσωτερικής εγκατάστασης. Αυτό τους σηματοδοτεί ως τον τελευταίο παράγοντα απειλής που επικεντρώνεται στις ρυθμίσεις υβριδικού cloud, ακολουθώντας τα βήματα ομάδων όπως οι Octo Tempest και Manatee Tempest.
Στόχευση στο Cloud
Ο παράγοντας απειλής αξιοποίησε διαπιστευτήρια συλλογής, ιδιαίτερα αυτά από το Microsoft Entra ID (πρώην Azure AD), για να διευκολύνει την πλευρική κίνηση από συστήματα εσωτερικής εγκατάστασης σε περιβάλλοντα cloud, δημιουργώντας μια μόνιμη κερκόπορτα για συνεχή πρόσβαση στο δίκτυο-στόχο.
Αυτή η μετάβαση στο cloud επιτυγχάνεται συνήθως είτε μέσω ενός παραβιασμένου λογαριασμού χρήστη Microsoft Entra Connect Sync είτε μέσω παραβίασης της περιόδου σύνδεσης ενός λογαριασμού χρήστη εσωτερικής εγκατάστασης που διαθέτει λογαριασμό διαχειριστή στο cloud, ιδιαίτερα εάν ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) είναι απενεργοποιημένος .
Ανάπτυξη του Embargo Ransomware
Η επίθεση κορυφώνεται με την ανάπτυξη του Embargo ransomware σε όλη την οργάνωση-θύμα, μόλις ο παράγοντας της απειλής έχει εξασφαλίσει επαρκή έλεγχο στο δίκτυο και έχει εκμεταλλευτεί επιτυχώς αρχεία ενδιαφέροντος. Το Embargo, μια παραλλαγή ransomware που βασίζεται στο Rust, εντοπίστηκε για πρώτη φορά τον Μάιο του 2024.
Λειτουργώντας σύμφωνα με ένα μοντέλο Ransomware-as-a-Service (RaaS), η ομάδα πίσω από το Embargo επιτρέπει σε θυγατρικές όπως το Storm-0501 να χρησιμοποιούν την πλατφόρμα της για να εξαπολύουν επιθέσεις με αντάλλαγμα ένα ποσοστό των λύτρων. Οι θυγατρικές του εμπάργκο χρησιμοποιούν τακτικές διπλού εκβιασμού, κρυπτογραφώντας τα αρχεία ενός θύματος ενώ ταυτόχρονα απειλούν να αποδεσμεύσουν ευαίσθητα δεδομένα που έχουν συλλεχθεί, εκτός εάν καταβληθούν τα λύτρα.
