قیمت چند مجوز تخفیف
پایگاه داده تهدید تهدید مداوم پیشرفته (APT) بازیگر تهدید طوفان-0501

بازیگر تهدید طوفان-0501

تا Mezo در تهدید مداوم پیشرفته (APT), باج افزار, تروجان ها
ترجمه به:
فارسی

گروه مجرم سایبری معروف به Storm-0501 به طور خاص بر بخش هایی مانند دولت، تولید، حمل و نقل و اجرای قانون در ایالات متحده متمرکز شده است تا حملات باج افزار خود را انجام دهد. هدف کمپین چند مرحله ای آنها نفوذ به محیط های ابری ترکیبی، تسهیل حرکت جانبی از سیستم های داخلی به زیرساخت های ابری است. این استراتژی در نهایت منجر به پیامدهای مخرب مختلفی از جمله حذف داده ها، سرقت اعتبار، دستکاری، دسترسی مداوم به درب پشتی و استقرار باج افزار می شود.

تکامل طوفان-0501

Storm-0501 با انگیزه های مالی در هسته فعالیت های خود عمل می کند و از ابزارهای تجاری و منبع باز برای انجام عملیات باج افزار خود استفاده می کند. این گروه که از سال 2021 فعال بود، در ابتدا موسسات آموزشی را با استفاده از باج افزار Sabbath (54bb47h) هدف قرار داد. با گذشت زمان، آنها به یک مدل Ransomware-as-a-Service (RaaS) تبدیل شده‌اند و طیف وسیعی از باج‌افزارها را ارائه می‌دهند. رپرتوار آنها اکنون شامل گونه‌های بدنام مختلفی مانند Hive، BlackCat (ALPHV)، Hunters International ، LockBit و باج‌افزار Embargo است.

بردارهای حمله اولیه استفاده شده توسط Storm-0501

یکی از ویژگی‌های مهم عملیات Storm-0501، بهره‌برداری آن‌ها از اعتبارنامه‌های ضعیف و حساب‌های دارای امتیاز بیش از حد است که به آن‌ها امکان می‌دهد از سیستم‌های داخلی سازمان به زیرساخت‌های ابری به طور یکپارچه منتقل شوند.

علاوه بر این، آنها از روش‌های دسترسی اولیه مختلفی مانند استفاده از اهرم‌هایی که توسط کارگزاران دسترسی مانند Storm-0249 و Storm-0900 ایجاد شده‌اند، استفاده می‌کنند. آنها همچنین سرورهای متصل به اینترنت وصله نشده را هدف قرار می دهند و از آسیب پذیری های شناخته شده اجرای کد از راه دور در پلتفرم هایی مانند Zoho ManageEngine، Citrix NetScaler و Adobe ColdFusion 2016 سوء استفاده می کنند.

با استفاده از هر یک از این روش‌ها، Storm-0501 این فرصت را به دست می‌آورد که شناسایی گسترده‌ای را انجام دهد و به آن‌ها اجازه می‌دهد دارایی‌های با ارزش بالا را شناسایی کنند، اطلاعات دامنه را جمع‌آوری کنند و تحقیقات Active Directory را انجام دهند. این مرحله معمولاً با نصب ابزارهای نظارت و مدیریت از راه دور (RMM) برای اطمینان از دسترسی و تداوم مداوم دنبال می شود.

بهره برداری از امتیازات توسط Storm-0501

عامل تهدید از امتیازات اداری به‌دست‌آمده از دستگاه‌های محلی آسیب‌دیده در مرحله دسترسی اولیه استفاده کرد و تلاش کرد از طریق روش‌های مختلف دسترسی خود را در شبکه گسترش دهد. در درجه اول، آنها از ماژول SecretsDump Impacket استفاده کردند، که استخراج اعتبارنامه ها را از طریق شبکه تسهیل می کند و از آن در طیف گسترده ای از دستگاه ها برای جمع آوری اطلاعات ارزشمند ورود استفاده می کند.

هنگامی که آنها این اعتبارنامه های در معرض خطر را به دست آوردند، عامل تهدید از آنها برای نفوذ به دستگاه های اضافی و استخراج اعتبار بیشتر استفاده کرد. در طی این فرآیند، آنها به فایل‌های حساس برای بازیابی اسرار KeePass دسترسی پیدا کردند و حملات brute-force را برای به دست آوردن اعتبار برای حساب‌های هدفمند اجرا کردند.

حرکت جانبی و استخراج داده ها

محققان Storm-0501 را مشاهده کرده اند که از Cobalt Strike برای حرکت جانبی در شبکه استفاده می کند و از اعتبارنامه های سرقت شده برای اجرای دستورات بعدی استفاده می کند. برای استخراج داده ها از محیط داخلی، آنها از Rclone برای انتقال داده های حساس به سرویس ذخیره سازی ابری عمومی MegaSync استفاده کردند.

علاوه بر این، عامل تهدید به دلیل ایجاد دسترسی مداوم در پشتی به محیط های ابری و استقرار باج افزار در سیستم های داخلی مورد توجه قرار گرفته است. این آنها را به‌عنوان آخرین بازیگر تهدیدی معرفی می‌کند که به دنبال گروه‌هایی مانند Octo Tempest و Manatee Tempest بر روی تنظیمات ابر هیبریدی تمرکز کرده است.

هدف قرار دادن ابر

عامل تهدید برای تسهیل حرکت جانبی از سیستم‌های داخلی به محیط‌های ابری از اعتبارنامه‌های جمع‌آوری‌شده، به‌ویژه اعتبارنامه‌های Microsoft Entra ID (Azure AD سابق) استفاده کرد و یک درب پشتی دائمی برای دسترسی مداوم به شبکه هدف ایجاد کرد.

این انتقال به فضای ابری معمولاً از طریق یک حساب کاربری در معرض خطر Microsoft Entra Connect Sync یا با ربودن جلسه یک حساب کاربری داخلی که دارای یک حساب مدیر در فضای ابری است، انجام می‌شود، به خصوص اگر احراز هویت چند عاملی (MFA) غیرفعال باشد. .

استقرار باج افزار Embargo

هنگامی که عامل تهدید کنترل کافی بر شبکه را به دست آورد و با موفقیت فایل های مورد علاقه را استخراج کرد، حمله با استقرار باج افزار Embargo در سراسر سازمان قربانی به اوج خود می رسد. Embargo، یک نوع باج‌افزار مبتنی بر Rust، برای اولین بار در می 2024 شناسایی شد.

گروهی که تحت Embargo تحت مدل Ransomware-as-a-Service (RaaS) فعالیت می‌کند، به شرکت‌های وابسته مانند Storm-0501 اجازه می‌دهد تا از پلتفرم خود برای انجام حملات در ازای دریافت درصدی از باج استفاده کنند. شرکت‌های وابسته به تحریم از تاکتیک‌های اخاذی مضاعف استفاده می‌کنند و فایل‌های قربانی را رمزگذاری می‌کنند و در عین حال تهدید می‌کنند که داده‌های حساس جمع‌آوری شده را منتشر می‌کنند مگر اینکه باج پرداخت شود.

پرطرفدار

کلاهبرداری ایمیل با انقضای رمز عبور Smartcolor

فیشینگ, هرزنامه
در عصر دیجیتال امروزی، هوشیاری مداوم هنگام مرور وب یا مدیریت حساب های آنلاین شما بسیار مهم است. مجرمان سایبری همیشه در حال ابداع روش‌های جدیدی برای فریب کاربران در افشای اطلاعات حساس هستند و تاکتیک‌های فیشینگ یکی از مؤثرترین تاکتیک‌های آنهاست. کلاهبرداری ایمیل.' این تاکتیک خود را به عنوان یک پیام فوری در مورد انقضای رمز عبور شما نشان می دهد، اما هدف واقعی آن سرقت اطلاعات ورود به سیستم شما...

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

فیشینگ, هرزنامه
37,404
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...

پاپ‌آپ‌های «اگر ۱۸ ساله هستید روی اجازه ضربه بزنید».

پیام های هشدار جعلی
28,894
پاپ‌آپ‌های «اگر ۱۸ ساله هستید، اجازه دهید ضربه بزنید» نوعی از تبلیغات پاپ‌آپ است که هنگام مرور اینترنت روی صفحه نمایش کاربر ظاهر می‌شود. این پاپ‌آپ‌ها می‌توانند برای کاربران کاملاً هشداردهنده باشند زیرا از آن‌ها می‌خواهند برای ادامه استفاده از وب‌سایتی که در حال حاضر در آن هستند، روی دکمه «مجاز» کلیک کنند. این پاپ آپ ها با برنامه های ناخواسته ای مانند ابزارهای تبلیغاتی مزاحم مرتبط هستند که می...
بارگذاری...