Storm-0501 Threat Actor

ក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលគេស្គាល់ថា Storm-0501 បានផ្តោតជាពិសេសលើវិស័យដូចជារដ្ឋាភិបាល ការផលិត ការដឹកជញ្ជូន និងការអនុវត្តច្បាប់នៅក្នុងសហរដ្ឋអាមេរិក ដើម្បីអនុវត្តការវាយប្រហារ ransomware របស់ពួកគេ។ យុទ្ធនាការពហុដំណាក់កាលរបស់ពួកគេមានគោលបំណងជ្រៀតចូលបរិយាកាសពពកកូនកាត់ សម្របសម្រួលចលនានៅពេលក្រោយពីប្រព័ន្ធក្នុងបរិវេណទៅហេដ្ឋារចនាសម្ព័ន្ធពពក។ យុទ្ធសាស្ត្រនេះនៅទីបំផុតនាំទៅរកលទ្ធផលព្យាបាទផ្សេងៗ រួមទាំងការដកទិន្នន័យ ការលួចព័ត៌មានសម្ងាត់ ការរំខាន ការចូលប្រើប្រាស់ backdoor ជាប់លាប់ និងការដាក់ពង្រាយ ransomware ។

ការវិវត្តន៍នៃព្យុះ-0501

Storm-0501 ដំណើរការជាមួយនឹងការលើកទឹកចិត្តផ្នែកហិរញ្ញវត្ថុជាស្នូលនៃសកម្មភាពរបស់ខ្លួន ដោយប្រើប្រាស់ទាំងឧបករណ៍ពាណិជ្ជកម្ម និងប្រភពបើកចំហដើម្បីអនុវត្តប្រតិបត្តិការ ransomware របស់វា។ សកម្មតាំងពីឆ្នាំ 2021 ក្រុមនេះដំបូងបានកំណត់គោលដៅស្ថាប័នអប់រំដោយប្រើប្រាស់កម្មវិធី Sabbath (54bb47h) Ransomware។ យូរ ៗ ទៅពួកគេបានផ្លាស់ប្តូរទៅជាគំរូ Ransomware-as-a-Service (RaaS) ដោយផ្តល់នូវជួរនៃ ransomware payloads ។ ឈុតខ្លីៗរបស់ពួកគេឥឡូវនេះរួមមានប្រភេទល្បីៗជាច្រើនដូចជា Hive, BlackCat (ALPHV), Hunters International , LockBit និង Embargo Ransomware ។

វ៉ិចទ័រវាយប្រហារដំបូងប្រើដោយ Storm-0501

លក្ខណៈសំខាន់មួយនៃប្រតិបត្តិការរបស់ Storm-0501 គឺការកេងប្រវ័ញ្ចរបស់ពួកគេលើព័ត៌មានសម្ងាត់ខ្សោយ និងគណនីដែលមានសិទ្ធិហួសហេតុ ដែលអាចឱ្យពួកគេផ្លាស់ប្តូរពីប្រព័ន្ធក្នុងបរិវេណរបស់ស្ថាប័នមួយទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធពពកយ៉ាងរលូន។

លើសពីនេះ ពួកគេប្រើវិធីចូលប្រើដំបូងផ្សេងៗ ដូចជាការប្រើប្រាស់ជើងហោះហើរដែលបង្កើតឡើងដោយឈ្មួញកណ្តាលចូលប្រើដូចជា Storm-0249 និង Storm-0900 ជាដើម។ ពួកគេក៏កំណត់គោលដៅម៉ាស៊ីនមេដែលប្រឈមមុខនឹងអ៊ីនធឺណិតដែលមិនបានជួសជុល ដោយទាញយកភាពងាយរងគ្រោះនៃការប្រតិបត្តិកូដពីចម្ងាយដែលគេស្គាល់នៅក្នុងវេទិកាដូចជា Zoho ManageEngine, Citrix NetScaler និង Adobe ColdFusion 2016 ជាដើម។

តាមរយៈការប្រើប្រាស់វិធីសាស្រ្តទាំងនេះ Storm-0501 ទទួលបានឱកាសដើម្បីធ្វើការស្រាវជ្រាវយ៉ាងទូលំទូលាយ ដែលអនុញ្ញាតឱ្យពួកគេកំណត់អត្តសញ្ញាណទ្រព្យសម្បត្តិមានតម្លៃខ្ពស់ ប្រមូលព័ត៌មានដែន និងធ្វើការស៊ើបអង្កេត Active Directory ។ ដំណាក់កាលនេះជាធម្មតាត្រូវបានអនុវត្តដោយការដំឡើងឧបករណ៍ត្រួតពិនិត្យពីចម្ងាយ និងការគ្រប់គ្រង (RMMs) ដើម្បីធានាបាននូវការចូលដំណើរការ និងការបន្ត។

ការកេងប្រវ័ញ្ចឯកសិទ្ធិដោយ Storm-0501

តួអង្គគម្រាមកំហែងបានលើកយកសិទ្ធិរដ្ឋបាលដែលទទួលបានពីឧបករណ៍ក្នុងតំបន់ដែលត្រូវបានសម្របសម្រួលក្នុងដំណាក់កាលចូលដំណើរការដំបូង ដោយព្យាយាមពង្រីកលទ្ធភាពរបស់ពួកគេនៅក្នុងបណ្តាញតាមរយៈវិធីសាស្រ្តផ្សេងៗ។ ជាបឋម ពួកគេបានប្រើប្រាស់ម៉ូឌុល SecretsDump របស់ Impacket ដែលជួយសម្រួលដល់ការទាញយកព័ត៌មានសម្ងាត់នៅលើបណ្តាញ ដោយប្រើប្រាស់វានៅលើឧបករណ៍ជាច្រើនដើម្បីប្រមូលព័ត៌មានចូលដ៏មានតម្លៃ។

នៅពេលដែលពួកគេទទួលបានព័ត៌មានសម្ងាត់ដែលត្រូវបានសម្របសម្រួលទាំងនេះ តួអង្គគំរាមកំហែងបានប្រើពួកវាដើម្បីជ្រៀតចូលឧបករណ៍បន្ថែម និងទាញយកព័ត៌មានសម្ងាត់បន្ថែមទៀត។ ក្នុងអំឡុងពេលដំណើរការនេះ ពួកគេបានចូលប្រើឯកសាររសើប ដើម្បីទាញយកការសម្ងាត់ KeePass និងបានដំណើរការការវាយប្រហារដោយបង្ខំ ដើម្បីទទួលបានព័ត៌មានសម្ងាត់សម្រាប់គណនីគោលដៅ។

ចលនាចំហៀង និងការបន្សុទ្ធទិន្នន័យ

អ្នកស្រាវជ្រាវបានសង្កេតឃើញថា Storm-0501 ប្រើប្រាស់ Cobalt Strike សម្រាប់ចលនាក្រោយៗនៅក្នុងបណ្តាញ ដោយប្រើប្រាស់ព័ត៌មានសម្ងាត់ដែលត្រូវបានលួចដើម្បីប្រតិបត្តិពាក្យបញ្ជាបន្ត។ សម្រាប់ការទាញយកទិន្នន័យចេញពីបរិយាកាសក្នុងបរិវេណ ពួកគេបានប្រើប្រាស់ Rclone ដើម្បីផ្ទេរទិន្នន័យរសើបទៅកាន់សេវាផ្ទុកពពកសាធារណៈ MegaSync ។

លើសពីនេះ តួអង្គគំរាមកំហែងត្រូវបានកត់សម្គាល់សម្រាប់ការបង្កើតការចូលប្រើប្រាស់ backdoor ជាប់លាប់ទៅកាន់បរិស្ថានពពក និងការដាក់ពង្រាយ ransomware នៅលើប្រព័ន្ធក្នុងបរិវេណ។ នេះសម្គាល់ពួកគេថាជាតួអង្គគំរាមកំហែងចុងក្រោយបង្អស់ដែលផ្តោតលើការដំឡើងពពកកូនកាត់ ដោយដើរតាមគន្លងនៃក្រុមដូចជា Octo Tempest និង Manatee Tempest ។

កំណត់គោលដៅលើពពក

តួអង្គគម្រាមកំហែងបានប្រើប្រាស់ព័ត៌មានសម្ងាត់ដែលប្រមូលបាន ជាពិសេសពី Microsoft Entra ID (អតីត Azure AD) ដើម្បីជួយសម្រួលដល់ចលនានៅពេលក្រោយពីប្រព័ន្ធក្នុងបរិវេណទៅបរិស្ថានពពក បង្កើត backdoor ជាប់លាប់សម្រាប់ការចូលដំណើរការទៅកាន់បណ្តាញគោលដៅ។

ការផ្លាស់ប្តូរទៅកាន់ cloud នេះត្រូវបានសម្រេចជាធម្មតាតាមរយៈគណនីអ្នកប្រើប្រាស់ Microsoft Entra Connect Sync ដែលត្រូវបានសម្របសម្រួល ឬដោយការលួចចូលវគ្គនៃគណនីអ្នកប្រើប្រាស់ក្នុងបរិវេណដែលមានគណនីអ្នកគ្រប់គ្រងនៅក្នុងពពក ជាពិសេសប្រសិនបើការផ្ទៀងផ្ទាត់ពហុកត្តា (MFA) ត្រូវបានបិទ។ .

ការដាក់ពង្រាយ Embargo Ransomware

ការវាយប្រហារឈានដល់ចំណុចកំពូលនៅក្នុងការដាក់ពង្រាយ Embargo ransomware នៅទូទាំងអង្គការជនរងគ្រោះ នៅពេលដែលតួអង្គគម្រាមកំហែងទទួលបានការគ្រប់គ្រងគ្រប់គ្រាន់លើបណ្តាញ និងបានទាញយកឯកសារដែលចាប់អារម្មណ៍ដោយជោគជ័យ។ Embargo ដែលជាបំរែបំរួល ransomware ដែលមានមូលដ្ឋានលើ Rust ត្រូវបានកំណត់អត្តសញ្ញាណដំបូងក្នុងខែឧសភា ឆ្នាំ 2024។

ដំណើរការក្រោមគំរូ Ransomware-as-a-Service (RaaS) ក្រុមនៅពីក្រោយ Embargo អនុញ្ញាតឱ្យសាខាដូចជា Storm-0501 ប្រើប្រាស់វេទិការបស់ខ្លួនសម្រាប់បើកការវាយប្រហារជាថ្នូរនឹងភាគរយនៃតម្លៃលោះ។ សាខា Embargo ប្រើវិធីសាស្ត្រជំរិតទារប្រាក់ពីរដង ដោយអ៊ិនគ្រីបឯកសាររបស់ជនរងគ្រោះ ក្នុងពេលដំណាលគ្នាគំរាមបញ្ចេញទិន្នន័យដែលរសើប លុះត្រាតែតម្លៃលោះត្រូវបានបង់។