Storm-0501 खतरा अभिनेता

Storm-0501 को रूपमा चिनिने साइबर अपराधी समूहले विशेष गरी संयुक्त राज्य अमेरिका भित्र सरकार, निर्माण, यातायात, र कानून प्रवर्तन जस्ता क्षेत्रहरूमा उनीहरूको ransomware आक्रमणहरू कार्यान्वयन गर्न ध्यान केन्द्रित गरेको छ। तिनीहरूको बहु-चरण अभियानले हाइब्रिड क्लाउड वातावरणमा घुसपैठ गर्ने लक्ष्य राख्छ, अन-प्रिमाइसेस प्रणालीहरूबाट क्लाउड पूर्वाधारहरूमा पार्श्व आन्दोलनको सुविधा दिन्छ। यो रणनीतिले अन्ततः विभिन्न दुर्भावनापूर्ण नतिजाहरू निम्त्याउँछ, डेटा निष्कासन, प्रमाणपत्र चोरी, छेडछाड, लगातार ब्याकडोर पहुँच र ransomware को तैनाती सहित।

द इभोलुसन अफ स्टर्म-०५०१

Storm-0501 ले यसको ransomware सञ्चालनहरू सञ्चालन गर्नका लागि व्यावसायिक र खुला स्रोत दुवै उपकरणहरू प्रयोग गर्दै, यसको गतिविधिहरूको केन्द्रमा वित्तीय प्रेरणाको साथ सञ्चालन गर्दछ। 2021 देखि सक्रिय, यो समूहले सुरुमा Sabbath (54bb47h) Ransomware प्रयोग गरेर शैक्षिक संस्थाहरूलाई लक्षित गर्यो। समयको साथ, तिनीहरूले Ransomware-as-a-Service (RaaS) मोडेलमा ट्रान्जिसन गरेका छन्, ransomware पेलोडहरूको दायरा प्रदान गर्दै। तिनीहरूको भण्डारमा अब Hive, BlackCat (ALPHV), Hunters International , LockBit, र Embargo Ransomware जस्ता विभिन्न कुख्यात स्ट्रेनहरू समावेश छन्।

Storm-0501 द्वारा प्रयोग गरिएको प्रारम्भिक आक्रमण भेक्टरहरू

Storm-0501 को सञ्चालनहरूको एउटा महत्त्वपूर्ण विशेषता भनेको तिनीहरूको कमजोर प्रमाणहरू र अति-विशेषाधिकार प्राप्त खाताहरूको शोषण हो, जसले तिनीहरूलाई संगठनको अन-प्रिमाइसेस प्रणालीहरूबाट क्लाउड पूर्वाधारहरूमा निर्बाध रूपमा परिवर्तन गर्न सक्षम बनाउँछ।

थप रूपमा, तिनीहरूले विभिन्न प्रारम्भिक पहुँच विधिहरू प्रयोग गर्छन्, जस्तै पहुँच ब्रोकरहरू जस्तै Storm-0249 र Storm-0900 द्वारा स्थापित फुटहोल्डहरू। Zoho ManageEngine, Citrix NetScaler र Adobe ColdFusion 2016 जस्ता प्लेटफर्महरूमा ज्ञात रिमोट कोड कार्यान्वयन कमजोरीहरूको शोषण गर्दै तिनीहरूले अनप्याच नगरिएका इन्टरनेट-फेसिङ सर्भरहरूलाई पनि लक्षित गर्छन्।

यी मध्ये कुनै पनि विधिहरू प्रयोग गरेर, Storm-0501 ले उनीहरूलाई उच्च-मूल्य सम्पत्तिहरू पहिचान गर्न, डोमेन जानकारी सङ्कलन गर्न, र सक्रिय निर्देशिका अनुसन्धानहरू गर्न अनुमति दिँदै व्यापक टोपन सञ्चालन गर्ने अवसर प्राप्त गर्दछ। यो चरण सामान्यतया निरन्तर पहुँच र दृढता सुनिश्चित गर्न रिमोट निगरानी र व्यवस्थापन उपकरण (RMMs) को स्थापना द्वारा पछ्याइएको छ।

Storm-0501 द्वारा विशेषाधिकारको शोषण

खतरा अभिनेताले प्रारम्भिक पहुँच चरणको दौडान सम्झौता गरिएका स्थानीय उपकरणहरूबाट प्राप्त प्रशासनिक विशेषाधिकारहरूमा पूंजीकृत गरे, विभिन्न विधिहरू मार्फत नेटवर्क भित्र आफ्नो पहुँच विस्तार गर्ने प्रयास गर्दै। मुख्य रूपमा, तिनीहरूले Impacket को SecretsDump मोड्युल प्रयोग गरे, जसले नेटवर्कमा प्रमाणहरू निकाल्न सजिलो बनाउँदछ, यसले बहुमूल्य लगइन जानकारी सङ्कलन गर्न उपकरणहरूको विस्तृत एर्रेमा प्रयोग गर्दछ।

एकचोटि उनीहरूले यी सम्झौता गरिएका प्रमाणहरू प्राप्त गरेपछि, धम्की अभिनेताले तिनीहरूलाई थप उपकरणहरू घुसाउन र थप प्रमाणहरू निकाल्न प्रयोग गर्यो। यस प्रक्रियाको क्रममा, तिनीहरूले KeePass गोप्यहरू पुन: प्राप्त गर्न संवेदनशील फाइलहरू पहुँच गरे र लक्षित खाताहरूको लागि प्रमाणहरू प्राप्त गर्न ब्रूट-फोर्स आक्रमणहरू कार्यान्वयन गरे।

पार्श्व आन्दोलन र डेटा निष्कासन

अन्वेषकहरूले Storm-0501 लाई नेटवर्क भित्र पार्श्व आन्दोलनको लागि कोबाल्ट स्ट्राइकको प्रयोग गरेको अवलोकन गरेका छन्, चोरी प्रमाणहरू प्रयोग गरेर फलो-अन आदेशहरू कार्यान्वयन गर्न। अन-प्रिमाइसेस वातावरणबाट डेटा निष्कासनको लागि, तिनीहरूले मेगासिंक सार्वजनिक क्लाउड भण्डारण सेवामा संवेदनशील डाटा स्थानान्तरण गर्न Rclone प्रयोग गरे।

यसबाहेक, क्लाउड वातावरणहरूमा लगातार ब्याकडोर पहुँच स्थापना गर्न र अन-प्रिमाइसेस प्रणालीहरूमा ransomware तैनात गर्न खतरा अभिनेतालाई उल्लेख गरिएको छ। यसले तिनीहरूलाई अक्टो टेम्पेस्ट र मानाटी टेम्पेस्ट जस्ता समूहहरूको पाइला पछ्याउँदै हाइब्रिड क्लाउड सेटअपहरूमा ध्यान केन्द्रित गर्ने सबैभन्दा नयाँ खतरा अभिनेताको रूपमा चिन्ह लगाउँछ।

क्लाउडलाई लक्षित गर्दै

खतरा अभिनेताले फसल गरिएका प्रमाणहरू, विशेष गरी Microsoft Entra ID (पहिले Azure AD) बाट, अन-प्रिमाइसेस प्रणालीहरूबाट क्लाउड वातावरणहरूमा पार्श्व आन्दोलनलाई सुविधा दिन, लक्षित नेटवर्कमा निरन्तर पहुँचको लागि निरन्तर ब्याकडोर स्थापना गर्न लाभ उठायो।

क्लाउडमा यो संक्रमण सामान्यतया कि त एक सम्झौता गरिएको Microsoft Entra Connect Sync प्रयोगकर्ता खाता मार्फत वा क्लाउडमा व्यवस्थापक खाता भएको अन-प्रिमाइसेस प्रयोगकर्ता खाताको सत्रलाई हाइज्याक गरेर हासिल गरिन्छ, विशेष गरी यदि बहु-कारक प्रमाणीकरण (MFA) असक्षम गरिएको छ। ।

Embargo Ransomware को तैनाती

धम्की दिने अभिनेताले नेटवर्कमा पर्याप्त नियन्त्रण र चासोका फाइलहरू सफलतापूर्वक बाहिर निकालेपछि आक्रमण पीडित संगठनमा एम्बार्गो ransomware को तैनातीमा परिणत हुन्छ। Embargo, एक रस्ट-आधारित ransomware संस्करण, पहिलो पटक मे 2024 मा पहिचान गरिएको थियो।

Ransomware-as-a-Service (RaaS) मोडेल अन्तर्गत सञ्चालन गर्दै, Embargo पछाडिको समूहले Storm-0501 जस्ता सम्बद्धहरूलाई फिरौतीको प्रतिशतको सट्टामा आक्रमणहरू सुरु गर्न यसको प्लेटफर्म प्रयोग गर्न अनुमति दिन्छ। Embargo सम्बद्धहरूले दोहोरो फिरौती रणनीति प्रयोग गर्छन्, पीडितको फाइलहरू इन्क्रिप्ट गर्ने र फिरौती भुक्तानी नगरेसम्म संवेदनशील कटाई डाटा जारी गर्ने धम्की दिन्छन्।