Torm-0501 Ohtnäitleja
Küberkurjategijate rühmitus nimega Storm-0501 on keskendunud sellistele sektoritele nagu valitsus, tootmine, transport ja õiguskaitseasutused Ameerika Ühendriikides, et viia läbi oma lunavararünnakuid. Nende mitmeetapilise kampaania eesmärk on imbuda hübriidpilvekeskkondadesse, hõlbustades külgsuunalist liikumist kohapealsetelt süsteemidelt pilveinfrastruktuuridesse. See strateegia viib lõpuks mitmesuguste pahatahtlike tulemusteni, sealhulgas andmete väljafiltreerimine, mandaadi vargus, võltsimine, pidev tagaukse juurdepääs ja lunavara juurutamine.
Sisukord
Tormi-0501 areng
Storm-0501 tegutseb oma tegevuse keskmes rahalistel põhjustel, kasutades oma lunavaratoimingute läbiviimiseks nii kaubanduslikke kui ka avatud lähtekoodiga tööriistu. Alates 2021. aastast aktiivne rühm oli algselt suunatud haridusasutustele, mis kasutasid Sabbath (54bb47h) lunavara. Aja jooksul on need üle läinud Ransomware-as-a-Service (RaaS) mudeliks, pakkudes mitmesuguseid lunavara kasulikke koormusi. Nende repertuaar sisaldab nüüd mitmesuguseid kurikuulsaid tüvesid, nagu Hive, BlackCat (ALPHV), Hunters International , LockBit ja Embargo Ransomware .
Storm-0501 kasutatud esialgsed rünnakuvektorid
Storm-0501 toimingute üheks oluliseks tunnuseks on nõrkade volituste ja üleprivilegeeritud kontode ärakasutamine, mis võimaldab neil sujuvalt üle minna organisatsiooni kohapealsetelt süsteemidelt pilveinfrastruktuuridele.
Lisaks kasutavad nad mitmesuguseid esialgseid juurdepääsumeetodeid, nagu näiteks Storm-0249 ja Storm-0900 juurdepääsu maaklerite loodud tugipunktide võimendamine. Need sihivad ka paigatamata Interneti-servereid, kasutades ära teadaolevaid koodi kaugkäitamise haavatavusi sellistel platvormidel nagu Zoho ManageEngine, Citrix NetScaler ja Adobe ColdFusion 2016.
Kasutades mõnda neist meetoditest, saab Storm-0501 võimaluse viia läbi ulatuslikku luuret, võimaldades neil tuvastada väärtuslikke varasid, koguda domeeniteavet ja teostada Active Directory uurimisi. Sellele etapile järgneb tavaliselt kaugseire ja -haldustööriistade (RMM) installimine, et tagada pidev juurdepääs ja püsivus.
Privileegide ärakasutamine Storm-0501 poolt
Ohustaja kasutas esialgse juurdepääsufaasi ajal ära ohustatud kohalikelt seadmetelt saadud administraatoriõigusi, püüdes laiendada oma ulatust võrgus erinevate meetodite abil. Peamiselt kasutasid nad moodulit Impacket's SecretsDump, mis hõlbustab mandaatide eraldamist võrgu kaudu, kasutades seda paljudes seadmetes väärtusliku sisselogimisteabe kogumiseks.
Kui nad olid need ohustatud volikirjad omandanud, kasutas ohutegija neid täiendavatesse seadmetesse imbumiseks ja rohkemate mandaatide hankimiseks. Selle protsessi käigus pääsesid nad juurde tundlikele failidele, et hankida KeePassi saladusi, ja sooritasid jõhkra jõuga rünnakuid, et saada sihitud kontode jaoks mandaate.
Külgmine liikumine ja andmete väljafiltreerimine
Teadlased on täheldanud, et Storm-0501 kasutab võrgus külgsuunas liikumiseks Cobalt Strike'i , kasutades varastatud mandaate järelkäskude täitmiseks. Kohalikust keskkonnast andmete väljafiltreerimiseks kasutasid nad tundlike andmete edastamiseks MegaSynci avalikku pilvesalvestusteenust Rclone.
Lisaks on ohutegureid märgatud pideva tagaukse juurdepääsu loomise eest pilvekeskkondadele ja lunavara juurutamise eest kohapealsetes süsteemides. See tähistab neid kui uusimaid ohutegureid, kes keskenduvad hübriidpilve seadistustele, järgides selliste rühmade nagu Octo Tempest ja Manatee Tempest jälgedes.
Pilve sihtimine
Ohutegija kasutas kogutud mandaate, eriti Microsoft Entra ID-lt (endine Azure AD), et hõlbustada külgsuunalist liikumist kohapealsetest süsteemidest pilvekeskkondadesse, luues püsiva tagaukse pidevaks juurdepääsuks sihtvõrgule.
See pilve üleminek saavutatakse tavaliselt kas ohustatud Microsoft Entra Connect Synci kasutajakonto kaudu või asutusesisese kasutajakonto seansi kaaperdamisega, millel on pilves administraatorikonto, eriti kui mitmefaktoriline autentimine (MFA) on keelatud. .
Embargo lunavara juurutamine
Rünnak kulmineerub Embargo lunavara kasutuselevõtuga kogu ohvriorganisatsioonis, kui ohus osaleja on saavutanud piisava kontrolli võrgu üle ja edukalt välja filtreerinud huvipakkuvad failid. Embargo, roostepõhine lunavaravariant, tuvastati esmakordselt 2024. aasta mais.
Ransomware-as-a-Service (RaaS) mudeli alusel tegutsev Embargo taga olev grupp lubab sellistel sidusettevõtetel nagu Storm-0501 kasutada oma platvormi rünnakute algatamiseks, vastutasuks teatud protsendi lunarahast. Embargo sidusettevõtted kasutavad topeltväljapressimise taktikat, krüpteerides ohvri failid, ähvardades samal ajal avaldada tundlikke kogutud andmeid, kui lunaraha ei maksta.
