Storm-0501 שחקן איום

קבוצת פושעי הסייבר הידועה בשם Storm-0501 התמקדה במיוחד במגזרים כמו ממשל, ייצור, תחבורה ואכיפת חוק בארצות הברית כדי לבצע את התקפות תוכנת הכופר שלהם. הקמפיין הרב-שלבי שלהם נועד לחדור לסביבות ענן היברידיות, ולאפשר תנועה רוחבית ממערכות מקומיות לתשתיות ענן. אסטרטגיה זו מובילה בסופו של דבר לתוצאות זדוניות שונות, כולל חילוץ נתונים, גניבת אישורים, שיבוש, גישה מתמשכת בדלת אחורית ופריסה של תוכנות כופר.

האבולוציה של Storm-0501

Storm-0501 פועלת עם מניעים פיננסיים בליבת הפעילות שלה, תוך שימוש בכלים מסחריים וכלים בקוד פתוח לביצוע פעולות תוכנת הכופר שלה. פעילה מאז 2021, קבוצה זו פנתה בתחילה למוסדות חינוך באמצעות תוכנת הכופר של שבת (54bb47h). עם הזמן, הם עברו למודל Ransomware-as-a-Service (RaaS), המספק מגוון של עומסי כופר. הרפרטואר שלהם כולל כעת זנים ידועים לשמצה כגון Hive, BlackCat (ALPHV), Hunters International , LockBit, ו- Embargo Ransomware .

וקטורי התקפה ראשוניים בשימוש על ידי Storm-0501

מאפיין משמעותי אחד של הפעילות של Storm-0501 הוא הניצול שלהם של אישורים חלשים וחשבונות מועדפים יתר על המידה, המאפשרים להם לעבור ממערכות מקומיות של ארגון לתשתיות ענן בצורה חלקה.

בנוסף, הם מפעילים שיטות גישה ראשוניות שונות, כגון מינוף אחיזות רגליים שהוקמו על ידי ברוקרי גישה כמו Storm-0249 ו-Storm-0900. הם גם מכוונים לשרתים שאינם פונים לאינטרנט, תוך ניצול פגיעויות ידועות של ביצוע קוד מרחוק בפלטפורמות כמו Zoho ManageEngine, Citrix NetScaler ו-Adobe ColdFusion 2016.

על ידי שימוש בכל אחת מהשיטות הללו, Storm-0501 זוכה בהזדמנות לבצע סיור נרחב, המאפשר להם לזהות נכסים בעלי ערך גבוה, לאסוף מידע על תחום ולבצע חקירות של Active Directory. שלב זה מלווה בדרך כלל בהתקנה של כלי ניטור וניהול מרחוק (RMMs) כדי להבטיח גישה מתמשכת והתמדה.

ניצול הרשאות על ידי Storm-0501

שחקן האיום ניצל הרשאות ניהול שהושגו ממכשירים מקומיים שנפגעו בשלב הגישה הראשוני, תוך ניסיון להרחיב את טווח ההגעה שלהם ברשת באמצעות שיטות שונות. בעיקר, הם השתמשו במודול SecretsDump של Impacket, המאפשר חילוץ של אישורים דרך הרשת, וממנף אותו על פני מגוון רחב של מכשירים כדי לאסוף מידע כניסה בעל ערך.

ברגע שהם רכשו את האישורים שנפגעו, שחקן האיום השתמש בהם כדי לחדור למכשירים נוספים ולחלץ אישורים נוספים. במהלך תהליך זה, הם ניגשו לקבצים רגישים כדי לאחזר סודות KeePass וביצעו התקפות בכוח גס כדי להשיג אישורים עבור חשבונות ממוקדים.

תנועה לרוחב וסילוק נתונים

חוקרים צפו ב-Storm-0501 משתמש ב- Cobalt Strike לתנועה לרוחב בתוך הרשת, תוך שימוש באישורים הגנובים לביצוע פקודות המשך. לצורך חילוץ נתונים מהסביבה המקומית, הם השתמשו ב-Rclone כדי להעביר נתונים רגישים לשירות האחסון הענן הציבורי של MegaSync.

יתרה מזאת, שחקן האיום צוין כמי שמקים גישה מתמשכת בדלת אחורית לסביבות ענן ופריסה של תוכנות כופר במערכות מקומיות. זה מסמן אותם כשחקן האיום האחרון שהתמקד בהגדרות ענן היברידיות, בעקבות קבוצות כמו Octo Tempest ו-Manatee Tempest.

מיקוד לענן

שחקן האיום מינף אישורים שנאספו, במיוחד אלה מ-Microsoft Entra ID (לשעבר Azure AD), כדי להקל על תנועה רוחבית ממערכות מקומיות לסביבות ענן, תוך יצירת דלת אחורית מתמשכת לגישה מתמשכת לרשת היעד.

מעבר זה לענן מושג בדרך כלל באמצעות חשבון משתמש שנפרץ של Microsoft Entra Connect Sync או על ידי חטיפת ההפעלה של חשבון משתמש מקומי שיש לו חשבון אדמין בענן, במיוחד אם אימות רב-גורמי (MFA) מושבת .

פריסת תוכנת הכופר של Embargo

המתקפה מגיעה לשיאה בפריסה של תוכנות כופר של Embargo בכל ארגון הקורבן לאחר ששחקן האיום השיג שליטה מספקת ברשת והצליח לסנן קבצי עניין. Embargo, גרסת תוכנת כופר מבוססת Rust, זוהתה לראשונה במאי 2024.

הפועלת תחת מודל Ransomware-as-a-Service (RaaS), הקבוצה שמאחורי Embargo מתירה לשותפים כמו Storm-0501 להשתמש בפלטפורמה שלה להפעלת התקפות בתמורה לאחוז מהכופר. שותפי אמברגו מפעילים טקטיקות סחיטה כפולה, מצפינות קבצים של הקורבן ובו זמנית מאיימות לשחרר נתונים שנאספו רגישים אלא אם ישולם הכופר.