Audra-0501 grėsmės veikėjas
Kibernetinių nusikaltėlių grupė, žinoma kaip „Storm-0501“, daugiausia dėmesio skyrė tokiems sektoriams kaip vyriausybė, gamyba, transportas ir teisėsauga Jungtinėse Valstijose, kad galėtų vykdyti išpirkos reikalaujančių programų atakas. Jų kelių etapų kampanija siekiama įsiskverbti į hibridines debesų aplinkas, palengvinant judėjimą iš vietinių sistemų į debesų infrastruktūrą. Ši strategija galiausiai sukelia įvairių kenkėjiškų pasekmių, įskaitant duomenų išfiltravimą, kredencialų vagystes, klastojimą, nuolatinę prieigą prie užpakalinių durų ir išpirkos reikalaujančių programų diegimą.
Turinys
Audros raida-0501
„Storm-0501“ savo veikloje remiasi finansiniais motyvais ir naudoja tiek komercinius, tiek atvirojo kodo įrankius, kad galėtų vykdyti išpirkos reikalaujančių programų operacijas. Ši grupė, veikianti nuo 2021 m., iš pradžių taikėsi į švietimo įstaigas, naudojančias Sabbath (54bb47h) Ransomware. Laikui bėgant jie perėjo į Ransomware-as-a-Service (RaaS) modelį, suteikiantį daugybę išpirkos reikalaujančių programų. Jų repertuare dabar yra įvairių žinomų atmainų, tokių kaip Hive, BlackCat (ALPHV), Hunters International , LockBit ir Embargo Ransomware .
Pradinės atakos vektoriai, naudojami Storm-0501
Viena iš svarbių „Storm-0501“ veiklos ypatybių yra silpnų kredencialų ir pernelyg privilegijuotų paskyrų išnaudojimas, o tai leidžia sklandžiai pereiti nuo organizacijos vietinių sistemų prie debesų infrastruktūros.
Be to, jie naudoja įvairius pradinės prieigos metodus, tokius kaip prieigos brokerių, tokių kaip Storm-0249 ir Storm-0900, nustatytas atramas. Jie taip pat skirti nepataisytiems interneto serveriams, išnaudodami žinomas nuotolinio kodo vykdymo spragas tokiose platformose kaip Zoho ManageEngine, Citrix NetScaler ir Adobe ColdFusion 2016.
Naudodamas bet kurį iš šių metodų, Storm-0501 įgyja galimybę atlikti išsamią žvalgybą, leidžiančią identifikuoti didelės vertės turtą, rinkti domeno informaciją ir atlikti Active Directory tyrimus. Po šio etapo paprastai įdiegiami nuotolinio stebėjimo ir valdymo įrankiai (RMM), kad būtų užtikrinta nuolatinė prieiga ir atkaklumas.
„Storm-0501“ privilegijų išnaudojimas
Grėsmės veikėjas pasinaudojo administracinėmis privilegijomis, gautomis iš pažeistų vietinių įrenginių pradiniame prieigos etape, bandydamas įvairiais būdais išplėsti savo pasiekiamumą tinkle. Pirmiausia jie naudojo Impacket's SecretsDump modulį, kuris palengvina kredencialų išgavimą tinkle, panaudodamas jį įvairiuose įrenginiuose, kad būtų galima surinkti vertingą prisijungimo informaciją.
Gavęs šiuos pažeistus kredencialus, grėsmės veikėjas juos panaudojo, kad įsiskverbtų į papildomus įrenginius ir gautų daugiau kredencialų. Šio proceso metu jie pasiekė slaptus failus, kad gautų KeePass paslaptis, ir įvykdė žiaurios jėgos atakas, kad gautų tikslinių paskyrų kredencialus.
Šoninis judėjimas ir duomenų išfiltravimas
Tyrėjai pastebėjo, kad „Storm-0501“ naudoja „Cobalt Strike“ šoniniam judėjimui tinkle ir panaudojo pavogtus kredencialus, kad galėtų vykdyti tolesnėms komandoms. Duomenims iš vietinės aplinkos išfiltruoti jie naudojo Rclone, kad perkeltų neskelbtinus duomenis į viešosios debesies saugyklos paslaugą MegaSync.
Be to, grėsmės veikėjas buvo pastebėtas dėl nuolatinės užpakalinės prieigos prie debesies aplinkos ir išpirkos reikalaujančių programų diegimo vietinėse sistemose. Tai reiškia, kad jie yra naujausi grėsmės veikėjai, daugiausia dėmesio skiriantys hibridinėms debesų sąrankoms, sekdami tokių grupių kaip Octo Tempest ir Manatee Tempest pėdomis.
Taikymas į debesį
Grėsmės veikėjas pasinaudojo surinktais kredencialais, ypač iš „Microsoft Entra ID“ (anksčiau vadintas Azure AD), kad palengvintų šoninį judėjimą iš vietinių sistemų į debesų aplinką, sukurdamas nuolatines užpakalines duris nuolatinei prieigai prie tikslinio tinklo.
Šis perėjimas prie debesies paprastai pasiekiamas naudojant pažeistą „Microsoft Entra Connect Sync“ vartotojo paskyrą arba užgrobus vietinės vartotojo abonemento, turinčio administratoriaus paskyrą debesyje, seansą, ypač jei išjungtas kelių veiksnių autentifikavimas (MFA) .
Embargo Ransomware diegimas
Ataka baigiasi Embargo išpirkos reikalaujančios programinės įrangos įdiegimu visoje aukų organizacijoje, kai grėsmės veikėjas užsitikrina pakankamą tinklo kontrolę ir sėkmingai išfiltruoja dominančius failus. Embargo, rūdžių pagrindu sukurtas ransomware variantas, pirmą kartą buvo nustatytas 2024 m. gegužės mėn.
Veikdama pagal Ransomware-as-a-Service (RaaS) modelį, Embargo grupė leidžia filialams, tokiems kaip Storm-0501, naudoti savo platformą atakoms pradėti mainais į išpirkos procentą. Embargo filialai taiko dvigubą turto prievartavimo taktiką – užšifruoja aukos failus ir tuo pat metu grasina atskleisti neskelbtinus surinktus duomenis, nebent bus sumokėta išpirka.
