Storm-0501 Prijetnja akter
Skupina kibernetičkog kriminala poznata kao Storm-0501 posebno se usredotočila na sektore kao što su vlada, proizvodnja, transport i provođenje zakona u Sjedinjenim Državama kako bi izvršila svoje napade ransomwareom. Njihova kampanja u više faza ima za cilj infiltrirati se u hibridna okruženja oblaka, olakšavajući bočno kretanje od lokalnih sustava do infrastrukture oblaka. Ova strategija u konačnici dovodi do različitih zlonamjernih ishoda, uključujući eksfiltraciju podataka, krađu vjerodajnica, neovlašteno mijenjanje, trajni backdoor pristup i postavljanje ransomwarea.
Sadržaj
Evolucija Storm-0501
Storm-0501 radi s financijskim motivima u središtu svojih aktivnosti, koristeći komercijalne i alate otvorenog koda za izvođenje svojih operacija ransomwarea. Aktivna od 2021., ova je grupa isprva ciljala obrazovne ustanove koje koriste Sabbath (54bb47h) Ransomware. S vremenom su prešli na model Ransomware-as-a-Service (RaaS), pružajući niz korisnih opterećenja ransomware-a. Njihov repertoar sada uključuje razne ozloglašene sojeve kao što su Hive, BlackCat (ALPHV), Hunters International , LockBit i Embargo Ransomware .
Početni vektori napada koje koristi Storm-0501
Jedna značajna karakteristika operacija Storm-0501 je njihovo iskorištavanje slabih vjerodajnica i pretjerano privilegiranih računa, što im omogućuje neprimjetan prijelaz s lokalnih sustava organizacije na infrastrukture oblaka.
Osim toga, koriste različite početne metode pristupa, kao što je korištenje uporišta koje su uspostavili brokeri pristupa poput Storm-0249 i Storm-0900. Oni također ciljaju nezakrpane poslužitelje okrenute prema internetu, iskorištavajući poznate ranjivosti daljinskog izvršavanja koda na platformama kao što su Zoho ManageEngine, Citrix NetScaler i Adobe ColdFusion 2016.
Korištenjem bilo koje od ovih metoda, Storm-0501 dobiva priliku za provođenje opsežnog izviđanja, što im omogućuje identificiranje imovine visoke vrijednosti, prikupljanje informacija o domeni i provođenje istraživanja Active Directoryja. Ovu fazu obično prati instalacija alata za daljinsko praćenje i upravljanje (RMM) kako bi se osigurao stalni pristup i postojanost.
Iskorištavanje privilegija od strane Storm-0501
Akter prijetnje kapitalizirao je administrativne povlastice dobivene od kompromitiranih lokalnih uređaja tijekom početne faze pristupa, pokušavajući proširiti svoj doseg unutar mreže različitim metodama. Prije svega, koristili su Impacketov modul SecretsDump, koji olakšava ekstrakciju vjerodajnica preko mreže, koristeći ih na širokom nizu uređaja za prikupljanje vrijednih podataka za prijavu.
Nakon što su pribavili te kompromitirane vjerodajnice, akter prijetnje ih je iskoristio za infiltraciju u dodatne uređaje i izdvajanje novih vjerodajnica. Tijekom ovog procesa pristupili su osjetljivim datotekama kako bi dohvatili KeePass tajne i izvršili brutalne napade kako bi dobili vjerodajnice za ciljane račune.
Lateralno kretanje i ekstrakcija podataka
Istraživači su primijetili kako Storm-0501 koristi Cobalt Strike za bočno kretanje unutar mreže, koristeći ukradene vjerodajnice za izvršavanje naknadnih naredbi. Za ekstrakciju podataka iz lokalnog okruženja upotrijebili su Rclone za prijenos osjetljivih podataka na uslugu javne pohrane u oblaku MegaSync.
Nadalje, akter prijetnje poznat je po uspostavljanju trajnog backdoor pristupa okruženjima u oblaku i postavljanju ransomwarea na lokalnim sustavima. To ih označava kao najnovijeg aktera prijetnji koji se usredotočio na postavke hibridnog oblaka, slijedeći korake grupa kao što su Octo Tempest i Manatee Tempest.
Ciljanje na oblak
Akter prijetnje iskoristio je prikupljene vjerodajnice, posebno one iz Microsoft Entra ID-a (bivši Azure AD), kako bi olakšao bočno kretanje iz lokalnih sustava u okruženja oblaka, uspostavljajući trajna stražnja vrata za stalni pristup ciljnoj mreži.
Ovaj prijelaz u oblak obično se postiže putem kompromitiranog Microsoft Entra Connect Sync korisničkog računa ili otimanjem sesije lokalnog korisničkog računa koji posjeduje administratorski račun u oblaku, osobito ako je višefaktorska provjera autentičnosti (MFA) onemogućena .
Uvođenje Embargo Ransomwarea
Napad kulminira uvođenjem Embargo ransomwarea u cijeloj organizaciji žrtve nakon što akter prijetnje osigura dovoljnu kontrolu nad mrežom i uspješno eksfiltrirao datoteke od interesa. Embargo, varijanta ransomwarea temeljena na Rustu, prvi je put identificirana u svibnju 2024.
Djelujući prema modelu Ransomware-as-a-Service (RaaS), grupa koja stoji iza Embarga dopušta podružnicama poput Storm-0501 da koriste svoju platformu za pokretanje napada u zamjenu za postotak otkupnine. Podružnice Embarga koriste dvostruku taktiku iznuđivanja, šifrirajući datoteke žrtve dok istovremeno prijete da će objaviti osjetljive sakupljene podatke osim ako se ne plati otkupnina.
