Storm-0501 Pelakon Ancaman
Kumpulan penjenayah siber yang dikenali sebagai Storm-0501 telah memberi tumpuan khusus kepada sektor seperti kerajaan, pembuatan, pengangkutan dan penguatkuasaan undang-undang di Amerika Syarikat untuk melaksanakan serangan perisian tebusan mereka. Kempen berbilang peringkat mereka bertujuan untuk menyusup ke persekitaran awan hibrid, memudahkan pergerakan sisi daripada sistem di premis kepada infrastruktur awan. Strategi ini akhirnya membawa kepada pelbagai hasil yang berniat jahat, termasuk exfiltration data, kecurian bukti kelayakan, gangguan, akses pintu belakang yang berterusan dan penggunaan perisian tebusan.
Isi kandungan
Evolusi Ribut-0501
Storm-0501 beroperasi dengan motivasi kewangan sebagai teras aktivitinya, menggunakan alat komersil dan sumber terbuka untuk menjalankan operasi perisian tebusannya. Aktif sejak 2021, kumpulan ini pada mulanya menyasarkan institusi pendidikan menggunakan Perisian Tebusan Sabat (54bb47h). Dari masa ke masa, mereka telah beralih kepada model Ransomware-as-a-Service (RaaS), menyediakan pelbagai muatan perisian tebusan. Repertoir mereka kini termasuk pelbagai jenis yang terkenal seperti Hive, BlackCat (ALPHV), Hunters International , LockBit dan Embargo Ransomware .
Vektor Serangan Awal Digunakan oleh Storm-0501
Satu ciri penting operasi Storm-0501 ialah eksploitasi kelayakan yang lemah dan akaun yang terlalu istimewa, yang membolehkan mereka beralih daripada sistem di premis organisasi kepada infrastruktur awan dengan lancar.
Selain itu, mereka menggunakan pelbagai kaedah akses awal, seperti memanfaatkan pijakan yang ditubuhkan oleh broker akses seperti Storm-0249 dan Storm-0900. Mereka juga menyasarkan pelayan yang menghadap ke internet tanpa tampalan, mengeksploitasi kelemahan pelaksanaan kod jauh yang diketahui dalam platform seperti Zoho ManageEngine, Citrix NetScaler dan Adobe ColdFusion 2016.
Dengan menggunakan mana-mana kaedah ini, Storm-0501 mendapat peluang untuk menjalankan peninjauan yang meluas, membolehkan mereka mengenal pasti aset bernilai tinggi, mengumpul maklumat domain dan melakukan penyiasatan Active Directory. Fasa ini biasanya diikuti dengan pemasangan alat pemantauan dan pengurusan jauh (RMM) untuk memastikan akses dan ketekunan berterusan.
Eksploitasi Keistimewaan oleh Storm-0501
Aktor ancaman memanfaatkan keistimewaan pentadbiran yang diperoleh daripada peranti tempatan yang terjejas semasa fasa akses awal, cuba mengembangkan jangkauan mereka dalam rangkaian melalui pelbagai kaedah. Terutamanya, mereka menggunakan modul SecretsDump Impacket, yang memudahkan pengekstrakan kelayakan melalui rangkaian, memanfaatkannya merentasi pelbagai peranti untuk mengumpulkan maklumat log masuk yang berharga.
Sebaik sahaja mereka memperoleh kelayakan yang terjejas ini, pelaku ancaman menggunakannya untuk menyusup peranti tambahan dan mengekstrak lebih banyak bukti kelayakan. Semasa proses ini, mereka mengakses fail sensitif untuk mendapatkan semula rahsia KeePass dan melaksanakan serangan kekerasan untuk mendapatkan bukti kelayakan untuk akaun yang disasarkan.
Pergerakan Sisi dan Penyusutan Data
Penyelidik telah memerhati Storm-0501 menggunakan Cobalt Strike untuk pergerakan sisi dalam rangkaian, menggunakan kelayakan yang dicuri untuk melaksanakan arahan susulan. Untuk exfiltration data dari persekitaran di premis, mereka menggunakan Rclone untuk memindahkan data sensitif ke perkhidmatan storan awan awam MegaSync.
Tambahan pula, pelaku ancaman telah dikenali kerana mewujudkan akses pintu belakang yang berterusan kepada persekitaran awan dan menggunakan perisian tebusan pada sistem di premis. Ini menandakan mereka sebagai pelakon ancaman terbaharu untuk menumpukan pada persediaan awan hibrid, mengikut jejak kumpulan seperti Octo Tempest dan Manatee Tempest.
Menyasarkan Awan
Aktor ancaman itu memanfaatkan kelayakan yang telah dituai, terutamanya daripada Microsoft Entra ID (dahulunya Azure AD), untuk memudahkan pergerakan sisi daripada sistem di premis ke persekitaran awan, mewujudkan pintu belakang yang berterusan untuk akses berterusan kepada rangkaian sasaran.
Peralihan kepada awan ini biasanya dicapai sama ada melalui akaun pengguna Microsoft Entra Connect Sync yang terjejas atau dengan merampas sesi akaun pengguna di premis yang memiliki akaun pentadbir dalam awan, terutamanya jika pengesahan berbilang faktor (MFA) dilumpuhkan .
Penggunaan Embargo Ransomware
Serangan itu memuncak dengan penggunaan perisian tebusan Embargo di seluruh organisasi mangsa sebaik sahaja pelaku ancaman memperoleh kawalan yang mencukupi ke atas rangkaian dan berjaya mengekstrak fail yang diminati. Embargo, varian perisian tebusan berasaskan Rust, mula dikenal pasti pada Mei 2024.
Beroperasi di bawah model Ransomware-as-a-Service (RaaS), kumpulan di sebalik Embargo membenarkan ahli gabungan seperti Storm-0501 untuk menggunakan platformnya untuk melancarkan serangan sebagai pertukaran peratusan wang tebusan. Ahli gabungan embargo menggunakan taktik peras ugut berganda, menyulitkan fail mangsa sambil mengancam untuk melepaskan data penuaian sensitif melainkan wang tebusan dibayar.
