다중 라이센스 할인 견적
위협 데이터베이스 지능형 지속 위협(APT) Storm-0501 위협 행위자

Storm-0501 위협 행위자

지능형 지속 위협(APT), 랜섬웨어, 트로이 목마년에 Mezo 년까지
번역 :
한국어

Storm-0501로 알려진 사이버 범죄 그룹은 랜섬웨어 공격을 실행하기 위해 미국 내 정부, 제조, 운송 및 법 집행과 같은 부문에 특히 집중했습니다. 그들의 다단계 캠페인은 하이브리드 클라우드 환경에 침투하여 온프레미스 시스템에서 클라우드 인프라로의 측면 이동을 용이하게 하는 것을 목표로 합니다. 이 전략은 궁극적으로 데이터 유출, 자격 증명 도용, 변조, 지속적인 백도어 액세스 및 랜섬웨어 배포를 포함한 다양한 악의적인 결과로 이어집니다.

Storm-0501의 진화

Storm-0501은 상업적 및 오픈 소스 도구를 모두 활용하여 랜섬웨어 작업을 수행하는 핵심 활동으로 재정적 동기를 가지고 운영됩니다. 2021년부터 활동한 이 그룹은 처음에는 Sabbath(54bb47h) 랜섬웨어를 사용하여 교육 기관을 표적으로 삼았습니다. 시간이 지나면서 다양한 랜섬웨어 페이로드를 제공하는 Ransomware-as-a-Service(RaaS) 모델로 전환했습니다. 현재 그들의 레퍼토리에는 Hive, BlackCat (ALPHV), Hunters International , LockBit, Embargo Ransomware 와 같은 다양한 악명 높은 변종이 포함됩니다.

Storm-0501이 활용한 초기 공격 벡터

Storm-0501의 운영에서 중요한 특징 중 하나는 취약한 인증 정보와 과도한 권한이 있는 계정을 악용하는 것입니다. 이를 통해 조직의 온프레미스 시스템에서 클라우드 인프라로 원활하게 전환할 수 있습니다.

또한, Storm-0249 및 Storm-0900과 같은 액세스 브로커가 구축한 발판을 활용하는 등 다양한 초기 액세스 방법을 사용합니다. 또한 패치되지 않은 인터넷 연결 서버를 대상으로 Zoho ManageEngine, Citrix NetScaler 및 Adobe ColdFusion 2016과 같은 플랫폼에서 알려진 원격 코드 실행 취약성을 악용합니다.

이러한 방법 중 하나를 활용하면 Storm-0501은 광범위한 정찰을 수행할 기회를 얻어 고가 자산을 식별하고 도메인 정보를 수집하며 Active Directory 조사를 수행할 수 있습니다. 이 단계는 일반적으로 지속적인 액세스와 지속성을 보장하기 위해 원격 모니터링 및 관리 도구(RMM)를 설치하는 것으로 이어집니다.

Storm-0501의 특권 악용

위협 행위자는 초기 액세스 단계에서 손상된 로컬 장치에서 얻은 관리자 권한을 이용하여 다양한 방법을 통해 네트워크 내에서 도달 범위를 확장하려고 시도했습니다. 주로 Impacket의 SecretsDump 모듈을 사용하여 네트워크를 통한 자격 증명 추출을 용이하게 하고 다양한 장치에서 귀중한 로그인 정보를 수집했습니다.

그들이 이러한 침해된 자격 증명을 획득한 후, 위협 행위자는 이를 사용하여 추가 장치에 침투하고 더 많은 자격 증명을 추출했습니다. 이 과정에서 그들은 민감한 파일에 액세스하여 KeePass 비밀을 검색하고 무차별 대입 공격을 실행하여 대상 계정의 자격 증명을 얻었습니다.

측면 이동 및 데이터 유출

연구자들은 Storm-0501이 네트워크 내에서 측면 이동을 위해 Cobalt Strike를 활용하여 훔친 자격 증명을 사용하여 후속 명령을 실행하는 것을 관찰했습니다. 온프레미스 환경에서 데이터를 빼내기 위해 Rclone을 사용하여 민감한 데이터를 MegaSync 퍼블릭 클라우드 스토리지 서비스로 전송했습니다.

또한 위협 행위자는 클라우드 환경에 대한 지속적인 백도어 액세스를 구축하고 온프레미스 시스템에 랜섬웨어를 배포한 것으로 알려져 있습니다. 이는 Octo Tempest 및 Manatee Tempest와 같은 그룹의 발자취를 따라 하이브리드 클라우드 설정에 집중하는 최신 위협 행위자로 표시됩니다.

클라우드 타겟팅

위협 행위자는 수집된 자격 증명, 특히 Microsoft Entra ID(이전 Azure AD)의 자격 증명을 활용하여 온프레미스 시스템에서 클라우드 환경으로의 측면 이동을 용이하게 했고, 대상 네트워크에 지속적으로 액세스할 수 있는 지속적인 백도어를 구축했습니다.

클라우드로의 전환은 일반적으로 손상된 Microsoft Entra Connect Sync 사용자 계정을 통해 이루어지거나, 특히 다중 요소 인증(MFA)이 비활성화된 경우 클라우드에서 관리자 계정을 소유한 온프레미스 사용자 계정의 세션을 하이재킹하여 이루어집니다.

Embargo 랜섬웨어 배포

공격은 위협 행위자가 네트워크를 충분히 제어하고 관심 있는 파일을 성공적으로 빼낸 후, 피해자 조직 전체에 Embargo 랜섬웨어를 배포하는 것으로 끝납니다. Rust 기반 랜섬웨어 변종인 Embargo는 2024년 5월에 처음 확인되었습니다.

랜섬웨어 서비스(RaaS) 모델로 운영되는 Embargo의 배후에 있는 그룹은 Storm-0501과 같은 계열사가 몸값의 일정 비율을 받는 대가로 자사 플랫폼을 이용해 공격을 시작하도록 허용합니다. Embargo 계열사는 이중 강탈 전술을 사용하여 피해자의 파일을 암호화하는 동시에 몸값을 지불하지 않으면 수집된 민감한 데이터를 공개하겠다고 위협합니다.

트렌드

Crypto24 랜섬웨어

랜섬웨어
맬웨어, 특히 랜섬웨어는 개인과 조직 모두에게 상당한 위협을 가합니다. 사이버 범죄자들이 끊임없이 전략을 발전시키면서, 기기를 공격에 대비해 강화하는 것이 그 어느 때보다 중요합니다. 파장을 일으키고 있는 특히 정교한 맬웨어 종류 중 하나는 Crypto24 랜섬웨어로, 데이터를 잠그고 이를 해제하는 대가로 막대한 몸값을 요구하도록 설계된 위협적인...

터미네이터 랜소우메어

랜섬웨어
랜섬웨어 공격의 위험은 개인과 조직 모두에게 점점 더 큰 우려 사항입니다. 더욱 정교한 위협이 정기적으로 등장함에 따라 기기를 사전에 보호해야 할 필요성이 그 어느 때보다 중요해졌습니다. 최신 위협 중 하나인 터미네이터 랜섬웨어는 사이버 범죄자가 취약점을 악용하여 데이터를 인질로 잡고 액세스를 복구하는 대가로 막대한 몸값을 요구하는 방식을 보여줍니다....

Smartcolor 비밀번호 만료 이메일 사기

피싱, 스팸
오늘날의 디지털 시대에 웹을 탐색하거나 온라인 계정을 관리할 때는 끊임없는 경계가 필수적입니다. 사이버 범죄자들은 항상 사용자를 속여 민감한 정보를 공개하도록 하는 새로운 방법을 고안하고 있으며, 피싱 전술은 여전히 가장 효과적인 전술 중 하나입니다. 이메일 사기. 이 전술은 비밀번호가 만료된다는 긴급 메시지로 나타나지만, 진짜 의도는 로그인 자격 증명을 훔치는 것입니다. Smartcolor 비밀번호 만료 사기 이해 언뜻 보기에 Smartcolor 비밀번호 만료 이메일은 이메일 제공자나 온라인 서비스에서 보낸 합법적인 알림처럼 보입니다. 일반적으로 '알림: 비밀번호 만료 알림 - [이메일 주소]'와 같은 경고성 제목줄이 함께 제공되며 비밀번호가 곧 만료된다는 경고를 합니다. 심지어...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
83,080
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
64,013
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...