Vētra-0501 draudu aktieris
Kibernoziedznieku grupa, kas pazīstama kā Storm-0501, ir īpaši koncentrējusies uz tādām nozarēm kā valdība, ražošana, transports un tiesībaizsardzība Amerikas Savienotajās Valstīs, lai veiktu savus izspiedējvīrusu uzbrukumus. Viņu daudzpakāpju kampaņas mērķis ir iefiltrēties hibrīda mākoņu vidēs, atvieglojot sānu pārvietošanos no lokālām sistēmām uz mākoņu infrastruktūrām. Šī stratēģija galu galā izraisa dažādus ļaunprātīgus rezultātus, tostarp datu izfiltrēšanu, akreditācijas datu zādzību, manipulācijas, pastāvīgu piekļuvi aizmugures durvīm un izspiedējvīrusu izvietošanu.
Satura rādītājs
Vētras evolūcija-0501
Storm-0501 savu darbību pamatā ir finansiāla motivācija, izmantojot gan komerciālus, gan atvērtā pirmkoda rīkus, lai veiktu izspiedējvīrusa darbības. Šī grupa, kas darbojas kopš 2021. gada, sākotnēji bija vērsta uz izglītības iestādēm, izmantojot Sabbath (54bb47h) Ransomware. Laika gaitā tie ir pārgājuši uz Ransomware-as-a-Service (RaaS) modeli, nodrošinot virkni izpirkuma programmatūras lietderīgās slodzes. Viņu repertuārā tagad ir iekļauti dažādi bēdīgi slaveni celmi, piemēram, Hive, BlackCat (ALPHV), Hunters International , LockBit un Embargo Ransomware .
Sākotnējie uzbrukuma vektori, ko izmantoja Storm-0501
Viena nozīmīga Storm-0501 darbību iezīme ir vāju akreditācijas datu un pārāk priviliģētu kontu izmantošana, kas ļauj tiem nemanāmi pāriet no organizācijas lokālajām sistēmām uz mākoņa infrastruktūru.
Turklāt tie izmanto dažādas sākotnējās piekļuves metodes, piemēram, izmantojot piekļuves brokeru, piemēram, Storm-0249 un Storm-0900, noteiktos atbalsta punktus. Tie ir vērsti arī uz nelabotiem interneta serveriem, izmantojot zināmās attālās koda izpildes ievainojamības tādās platformās kā Zoho ManageEngine, Citrix NetScaler un Adobe ColdFusion 2016.
Izmantojot jebkuru no šīm metodēm, Storm-0501 iegūst iespēju veikt plašu izlūkošanu, ļaujot tiem identificēt augstvērtīgus īpašumus, apkopot domēna informāciju un veikt Active Directory izmeklēšanu. Šim posmam parasti seko attālās uzraudzības un pārvaldības rīku (RMM) instalēšana, lai nodrošinātu pastāvīgu piekļuvi un noturību.
Storm-0501 privilēģiju izmantošana
Apdraudējumi izmantoja administratīvās privilēģijas, kas tika iegūtas no apdraudētām vietējām ierīcēm sākotnējā piekļuves fāzē, mēģinot paplašināt savu sasniedzamību tīklā, izmantojot dažādas metodes. Pirmkārt, viņi izmantoja Impacket's SecretsDump moduli, kas atvieglo akreditācijas datu iegūšanu tīklā, izmantojot to dažādās ierīcēs, lai savāktu vērtīgu pieteikšanās informāciju.
Kad viņi bija ieguvuši šos apdraudētos akreditācijas datus, draudu izpildītājs tos izmantoja, lai iefiltrētos papildu ierīcēs un iegūtu vairāk akreditācijas datu. Šī procesa laikā viņi piekļuva sensitīviem failiem, lai izgūtu KeePass noslēpumus, un veica brutāla spēka uzbrukumus, lai iegūtu akreditācijas datus mērķkontiem.
Sānu kustība un datu eksfiltrācija
Pētnieki ir novērojuši, ka Storm-0501 izmanto Cobalt Strike sānu kustībai tīklā, izmantojot nozagtos akreditācijas datus, lai izpildītu turpmākās komandas. Datu izfiltrēšanai no lokālās vides viņi izmantoja Rclone, lai pārsūtītu sensitīvus datus uz MegaSync publiskās mākoņkrātuves pakalpojumu.
Turklāt apdraudējuma dalībnieks ir pazīstams ar pastāvīgu aizmugures piekļuvi mākoņa vidēm un izspiedējprogrammatūras izvietošanu lokālajās sistēmās. Tas iezīmē viņus kā jaunākos apdraudējumu dalībniekus, kas koncentrējas uz hibrīdmākoņu iestatījumiem, sekojot tādu grupu kā Octo Tempest un Manatee Tempest pēdās.
Mērķauditorijas atlase mākonī
Draudu dalībnieks izmantoja iegūtos akreditācijas datus, jo īpaši tos, kas iegūti no Microsoft Entra ID (iepriekš Azure AD), lai atvieglotu sānu pārvietošanos no lokālām sistēmām uz mākoņa vidi, izveidojot pastāvīgu aizmugures durvis pastāvīgai piekļuvei mērķa tīklam.
Šī pāreja uz mākoni parasti tiek panākta, izmantojot apdraudētu Microsoft Entra Connect Sync lietotāja kontu vai lokāla lietotāja konta sesijas nolaupīšanu, kuram mākonī ir administratora konts, it īpaši, ja ir atspējota daudzfaktoru autentifikācija (MFA). .
Embargo Ransomware izvietošana
Uzbrukuma kulminācija ir Embargo ransomware izvietošana visā upura organizācijā, tiklīdz draudu dalībnieks ir nodrošinājis pietiekamu kontroli pār tīklu un veiksmīgi izfiltrējis interesējošos failus. Embargo, uz Rust balstīta izpirkuma programmatūras variants, pirmo reizi tika identificēts 2024. gada maijā.
Darbojoties saskaņā ar Ransomware-as-a-Service (RaaS) modeli, Embargo grupa ļauj saistītajiem uzņēmumiem, piemēram, Storm-0501, izmantot savu platformu uzbrukumu uzsākšanai apmaiņā pret noteiktu izpirkuma maksu. Embargo filiāles izmanto dubultu izspiešanas taktiku, šifrējot upura failus, vienlaikus draudot atbrīvot sensitīvus savāktos datus, ja vien netiks samaksāta izpirkuma maksa.
