Vihar-0501 Fenyegetés színész
A Storm-0501 néven ismert kiberbűnözői csoport kifejezetten olyan szektorokra összpontosított, mint a kormányzat, a gyártás, a szállítás és a bűnüldözés az Egyesült Államokon belül, hogy végrehajtsák zsarolóprogramjaik támadásait. Többlépcsős kampányuk célja, hogy beszivárogjanak a hibrid felhőkörnyezetekbe, megkönnyítve az oldalirányú mozgást a helyszíni rendszerekről a felhőinfrastruktúrákra. Ez a stratégia végső soron különféle rosszindulatú kimenetelekhez vezet, beleértve az adatok kiszűrését, a hitelesítő adatok ellopását, a manipulációt, a folyamatos hátsó ajtóhoz való hozzáférést és a zsarolóvírusok telepítését.
Tartalomjegyzék
A Storm-0501 evolúciója
A Storm-0501 tevékenysége középpontjában a pénzügyi motiváció áll, és mind kereskedelmi, mind nyílt forráskódú eszközöket használ zsarolóvírus-műveleteinek végrehajtásához. Ez a 2021 óta működő csoport kezdetben a Sabbath (54bb47h) Ransomware-t használó oktatási intézményeket célozta meg. Idővel áttértek egy Ransomware-as-a-Service (RaaS) modellre, amely számos ransomware-t biztosít. Repertoárjukban ma már különféle hírhedt törzsek szerepelnek, mint például a Hive, a BlackCat (ALPHV), a Hunters International , a LockBit és az Embargo Ransomware .
A Storm-0501 által használt kezdeti támadási vektorok
A Storm-0501 működésének egyik jelentős jellemzője a gyenge hitelesítő adatok és a túlzottan privilegizált fiókok kihasználása, ami lehetővé teszi számukra, hogy zökkenőmentesen váltsanak át a szervezet helyszíni rendszereiről a felhőinfrastruktúrákra.
Ezenkívül különféle kezdeti hozzáférési módszereket alkalmaznak, például kihasználják a hozzáférési brókerek, például a Storm-0249 és a Storm-0900 által létrehozott támaszpontokat. Megcélozzák a javítatlan, internetre néző szervereket is, kihasználva az olyan platformok ismert távoli kódfuttatási sebezhetőségeit, mint a Zoho ManageEngine, a Citrix NetScaler és az Adobe ColdFusion 2016.
Ezen módszerek bármelyikének felhasználásával a Storm-0501 lehetőséget kap kiterjedt felderítésre, lehetővé téve számukra a nagy értékű eszközök azonosítását, a tartományi információk összegyűjtését és az Active Directory-vizsgálatok elvégzését. Ezt a fázist jellemzően a távoli felügyeleti és felügyeleti eszközök (RMM) telepítése követi a folyamatos hozzáférés és az állandóság biztosítása érdekében.
A Storm-0501 kiváltságainak kihasználása
A fenyegetettség szereplője a kezdeti hozzáférési szakaszban kihasználta a feltört helyi eszközöktől kapott rendszergazdai jogosultságokat, és különféle módszerekkel próbálta kibővíteni hozzáférését a hálózaton belül. Elsősorban az Impacket SecretsDump modulját használták, amely megkönnyíti a hitelesítő adatok kinyerését a hálózaton keresztül, és számos eszközön felhasználva értékes bejelentkezési információkat gyűjt.
Miután megszerezték ezeket a kompromittált hitelesítő adatokat, a fenyegetés szereplője arra használta őket, hogy további eszközökbe beszivárogjon, és további hitelesítő adatokat nyerjen ki. A folyamat során érzékeny fájlokhoz fértek hozzá a KeePass titkainak lekéréséhez, és brute force támadásokat hajtottak végre, hogy hitelesítő adatokat szerezzenek meg a megcélzott fiókokhoz.
Oldalirányú mozgás és adatok kiszűrése
A kutatók megfigyelték, hogy a Storm-0501 a Cobalt Strike-ot használja a hálózaton belüli oldalirányú mozgáshoz, és az ellopott hitelesítő adatokat használta fel a következő parancsok végrehajtására. Az adatok helyszíni környezetből való kiszűréséhez az Rclone szolgáltatást használták az érzékeny adatok átvitelére a MegaSync nyilvános felhőtárhely szolgáltatásba.
Ezenkívül a fenyegetettség szereplője a felhőkörnyezetekhez való folyamatos hátsó ajtóhoz való hozzáférésről és a zsarolóprogramok helyszíni rendszereken történő telepítéséről ismert. Ezzel ők a legújabb fenyegetések szereplői, akik a hibrid felhőbeállításokra összpontosítanak, olyan csoportok nyomdokaiba lépve, mint az Octo Tempest és a Manatee Tempest.
A Felhő megcélzása
A fenyegetés szereplője a begyűjtött hitelesítő adatokat, különösen a Microsoft Entra ID-től (korábban Azure AD) használta fel, hogy megkönnyítse az oldalirányú mozgást a helyszíni rendszerekről a felhőkörnyezetekbe, állandó hátsó ajtót hozva létre a célhálózathoz való folyamatos hozzáféréshez.
Ez a felhőre való áttérés jellemzően egy feltört Microsoft Entra Connect Sync felhasználói fiókon vagy egy olyan helyszíni felhasználói fiók munkamenetének eltérítésén keresztül valósul meg, amelyik rendelkezik adminisztrátori fiókkal a felhőben, különösen akkor, ha a többtényezős hitelesítés (MFA) le van tiltva. .
Az Embargo Ransomware telepítése
A támadás az Embargo ransomware kiváltásában csúcsosodik ki az áldozat szervezetében, miután a fenyegetés szereplője elegendő irányítást biztosított a hálózat felett, és sikeresen kiszűrte az érdeklő fájlokat. Az Embargo-t, egy Rust-alapú ransomware-változatot először 2024 májusában azonosították.
A Ransomware-as-a-Service (RaaS) modell alapján működő Embargo-csoport lehetővé teszi a Storm-0501-hez hasonló leányvállalatok számára, hogy platformjukat támadások indítására használják a váltságdíj bizonyos százalékáért cserébe. Az embargó leányvállalatai kettős zsarolási taktikát alkalmaznak, titkosítják az áldozat fájljait, miközben azzal fenyegetnek, hogy kiadják a begyűjtött érzékeny adatokat, hacsak nem fizetik ki a váltságdíjat.
