Storm-0501 Trusselskuespiller
Den nettkriminelle gruppen kjent som Storm-0501 har spesifikt fokusert på sektorer som regjering, produksjon, transport og rettshåndhevelse i USA for å utføre sine løsepengevareangrep. Deres flertrinnskampanje tar sikte på å infiltrere hybride skymiljøer, og lette sideveis bevegelse fra lokale systemer til skyinfrastrukturer. Denne strategien fører til slutt til ulike ondsinnede utfall, inkludert dataeksfiltrering, legitimasjonstyveri, tukling, vedvarende bakdørstilgang og distribusjon av løsepengeprogramvare.
Innholdsfortegnelse
Utviklingen av Storm-0501
Storm-0501 opererer med økonomiske motivasjoner i kjernen av sine aktiviteter, og bruker både kommersielle og åpen kildekode-verktøy for å utføre løsepengevareoperasjoner. Denne gruppen, som har vært aktiv siden 2021, målrettet først utdanningsinstitusjoner ved å bruke Sabbath (54bb47h) løsepengeprogramvare. Over tid har de gått over til en Ransomware-as-a-Service (RaaS)-modell, som gir en rekke løsepenge-nyttelaster. Repertoaret deres inkluderer nå forskjellige beryktede stammer som Hive, BlackCat (ALPHV), Hunters International , LockBit og Embargo Ransomware .
Innledende angrepsvektorer brukt av Storm-0501
Et viktig kjennetegn ved Storm-0501s operasjoner er deres utnyttelse av svak legitimasjon og overprivilegerte kontoer, noe som gjør dem i stand til å gå sømløst fra en organisasjons lokale systemer til skyinfrastrukturer.
I tillegg bruker de forskjellige innledende tilgangsmetoder, for eksempel å utnytte fotfester etablert av tilgangsmeglere som Storm-0249 og Storm-0900. De retter seg også mot upatchede internettvendte servere, og utnytter kjente sårbarheter for ekstern kjøring av kode i plattformer som Zoho ManageEngine, Citrix NetScaler og Adobe ColdFusion 2016.
Ved å bruke en av disse metodene får Storm-0501 muligheten til å utføre omfattende rekognosering, slik at de kan identifisere verdifulle eiendeler, samle inn domeneinformasjon og utføre Active Directory-undersøkelser. Denne fasen etterfølges vanligvis av installasjon av fjernovervåkings- og administrasjonsverktøy (RMM) for å sikre kontinuerlig tilgang og utholdenhet.
Utnyttelse av privilegier av Storm-0501
Trusselaktøren utnyttet administrative privilegier oppnådd fra kompromitterte lokale enheter i den innledende tilgangsfasen, og forsøkte å utvide rekkevidden innenfor nettverket ved hjelp av ulike metoder. Primært brukte de Impackets SecretsDump-modul, som letter utvinningen av legitimasjon over nettverket, og utnytter den på tvers av en lang rekke enheter for å samle verdifull påloggingsinformasjon.
Når de skaffet seg disse kompromitterte legitimasjonene, brukte trusselaktøren dem til å infiltrere flere enheter og trekke ut mer legitimasjon. Under denne prosessen fikk de tilgang til sensitive filer for å hente KeePass-hemmeligheter og utførte brute-force-angrep for å få legitimasjon for målrettede kontoer.
Lateral bevegelse og dataeksfiltrering
Forskere har observert at Storm-0501 bruker Cobalt Strike for sideveis bevegelse i nettverket, og bruker den stjålne legitimasjonen for å utføre oppfølgingskommandoer. For dataeksfiltrering fra det lokale miljøet brukte de Rclone for å overføre sensitive data til den offentlige skylagringstjenesten MegaSync.
Videre har trusselaktøren blitt kjent for å etablere vedvarende bakdørstilgang til skymiljøer og distribuere løsepengevare på lokale systemer. Dette markerer dem som den siste trusselaktøren som fokuserer på hybride skyoppsett, og følger i fotsporene til grupper som Octo Tempest og Manatee Tempest.
Målrett mot skyen
Trusselaktøren utnyttet innhentet legitimasjon, spesielt de fra Microsoft Entra ID (tidligere Azure AD), for å lette sideveis bevegelse fra lokale systemer til skymiljøer, og etablerte en vedvarende bakdør for kontinuerlig tilgang til målnettverket.
Denne overgangen til skyen oppnås vanligvis enten gjennom en kompromittert Microsoft Entra Connect Sync-brukerkonto eller ved å kapre økten til en lokal brukerkonto som har en adminkonto i skyen, spesielt hvis multifaktorautentisering (MFA) er deaktivert .
Utrulling av Embargo Ransomware
Angrepet kulminerer i distribusjon av Embargo løsepengevare i hele offerorganisasjonen når trusselaktøren har sikret tilstrekkelig kontroll over nettverket og vellykket eksfiltrert filer av interesse. Embargo, en Rust-basert løsepengevare-variant, ble først identifisert i mai 2024.
Gruppen bak Embargo opererer under en Ransomware-as-a-Service-modell (RaaS), og tillater tilknyttede selskaper som Storm-0501 å bruke plattformen sin for å starte angrep i bytte mot en prosentandel av løsepengene. Embargo-tilknyttede selskaper bruker dobbel utpressingstaktikk, krypterer et offers filer samtidig som de truer med å frigi sensitive innhentede data med mindre løsepenger betales.
