ਤੂਫਾਨ-0501 ਧਮਕੀ ਅਦਾਕਾਰ
Storm-0501 ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮੂਹ ਨੇ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਆਪਣੇ ਰੈਨਸਮਵੇਅਰ ਹਮਲਿਆਂ ਨੂੰ ਅੰਜ਼ਾਮ ਦੇਣ ਲਈ ਸੰਯੁਕਤ ਰਾਜ ਦੇ ਅੰਦਰ ਸਰਕਾਰ, ਨਿਰਮਾਣ, ਆਵਾਜਾਈ ਅਤੇ ਕਾਨੂੰਨ ਲਾਗੂ ਕਰਨ ਵਰਗੇ ਖੇਤਰਾਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕੀਤਾ ਹੈ। ਉਹਨਾਂ ਦੀ ਬਹੁ-ਪੜਾਵੀ ਮੁਹਿੰਮ ਦਾ ਉਦੇਸ਼ ਹਾਈਬ੍ਰਿਡ ਕਲਾਉਡ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨਾ ਹੈ, ਆਨ-ਪ੍ਰੀਮਿਸ ਸਿਸਟਮਾਂ ਤੋਂ ਕਲਾਉਡ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਤੱਕ ਪਾਸੇ ਦੀ ਗਤੀ ਦੀ ਸਹੂਲਤ ਦੇਣਾ। ਇਹ ਰਣਨੀਤੀ ਆਖਰਕਾਰ ਵੱਖ-ਵੱਖ ਖਤਰਨਾਕ ਨਤੀਜਿਆਂ ਵੱਲ ਖੜਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ, ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਚੋਰੀ, ਛੇੜਛਾੜ, ਲਗਾਤਾਰ ਬੈਕਡੋਰ ਐਕਸੈਸ ਅਤੇ ਰੈਨਸਮਵੇਅਰ ਦੀ ਤੈਨਾਤੀ ਸ਼ਾਮਲ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਤੂਫਾਨ ਦਾ ਵਿਕਾਸ-0501
Storm-0501 ਆਪਣੀਆਂ ਗਤੀਵਿਧੀਆਂ ਦੇ ਮੂਲ 'ਤੇ ਵਿੱਤੀ ਪ੍ਰੇਰਨਾਵਾਂ ਨਾਲ ਕੰਮ ਕਰਦਾ ਹੈ, ਇਸਦੇ ransomware ਓਪਰੇਸ਼ਨਾਂ ਨੂੰ ਪੂਰਾ ਕਰਨ ਲਈ ਵਪਾਰਕ ਅਤੇ ਓਪਨ-ਸਰੋਤ ਦੋਵਾਂ ਸਾਧਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। 2021 ਤੋਂ ਸਰਗਰਮ, ਇਸ ਸਮੂਹ ਨੇ ਸ਼ੁਰੂ ਵਿੱਚ ਸਬਥ (54bb47h) ਰੈਨਸਮਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਵਿਦਿਅਕ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ। ਸਮੇਂ ਦੇ ਨਾਲ, ਉਹ ਰੈਨਸਮਵੇਅਰ-ਏ-ਏ-ਸਰਵਿਸ (RaaS) ਮਾਡਲ ਵਿੱਚ ਤਬਦੀਲ ਹੋ ਗਏ ਹਨ, ਰੈਨਸਮਵੇਅਰ ਪੇਲੋਡ ਦੀ ਇੱਕ ਸੀਮਾ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ। ਉਹਨਾਂ ਦੇ ਭੰਡਾਰਾਂ ਵਿੱਚ ਹੁਣ ਵੱਖ-ਵੱਖ ਬਦਨਾਮ ਕਿਸਮਾਂ ਸ਼ਾਮਲ ਹਨ ਜਿਵੇਂ ਕਿ Hive, BlackCat (ALPHV), ਹੰਟਰਸ ਇੰਟਰਨੈਸ਼ਨਲ , ਲੌਕਬਿਟ, ਅਤੇ ਐਮਬਾਰਗੋ ਰੈਨਸਮਵੇਅਰ ।
ਸਟਰਮ-0501 ਦੁਆਰਾ ਵਰਤੇ ਗਏ ਸ਼ੁਰੂਆਤੀ ਹਮਲੇ ਦੇ ਵੈਕਟਰ
Storm-0501 ਦੇ ਓਪਰੇਸ਼ਨਾਂ ਦੀ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿਸ਼ੇਸ਼ਤਾ ਉਹਨਾਂ ਦੇ ਕਮਜ਼ੋਰ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਅਤੇ ਜ਼ਿਆਦਾ-ਅਧਿਕਾਰਤ ਖਾਤਿਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਹੈ, ਜੋ ਉਹਨਾਂ ਨੂੰ ਕਿਸੇ ਸੰਗਠਨ ਦੇ ਆਨ-ਪ੍ਰੀਮਿਸ ਸਿਸਟਮਾਂ ਤੋਂ ਕਲਾਉਡ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਨਿਰਵਿਘਨ ਰੂਪ ਵਿੱਚ ਤਬਦੀਲ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਉਹ ਵੱਖ-ਵੱਖ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਵਿਧੀਆਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ ਸਟੋਰਮ-0249 ਅਤੇ ਸਟੋਰਮ-0900 ਵਰਗੇ ਐਕਸੈਸ ਬ੍ਰੋਕਰਾਂ ਦੁਆਰਾ ਸਥਾਪਤ ਪੈਰਾਂ ਦਾ ਲਾਭ ਲੈਣਾ। ਉਹ ਜ਼ੋਹੋ ਮੈਨੇਜਇੰਜੀਨ, ਸਿਟਰਿਕਸ ਨੈੱਟਸਕੇਲਰ ਅਤੇ ਅਡੋਬ ਕੋਲਡਫਿਊਜ਼ਨ 2016 ਵਰਗੇ ਪਲੇਟਫਾਰਮਾਂ ਵਿੱਚ ਜਾਣੇ-ਪਛਾਣੇ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹੋਏ, ਬਿਨਾਂ ਪੈਚ ਕੀਤੇ ਇੰਟਰਨੈਟ-ਫੇਸਿੰਗ ਸਰਵਰਾਂ ਨੂੰ ਵੀ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ।
ਇਹਨਾਂ ਵਿੱਚੋਂ ਕਿਸੇ ਵੀ ਢੰਗ ਦੀ ਵਰਤੋਂ ਕਰਕੇ, Storm-0501 ਨੂੰ ਵਿਆਪਕ ਖੋਜ ਕਰਨ ਦਾ ਮੌਕਾ ਮਿਲਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਉਹਨਾਂ ਨੂੰ ਉੱਚ-ਮੁੱਲ ਸੰਪਤੀਆਂ ਦੀ ਪਛਾਣ ਕਰਨ, ਡੋਮੇਨ ਦੀ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ, ਅਤੇ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਜਾਂਚਾਂ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ। ਇਹ ਪੜਾਅ ਆਮ ਤੌਰ 'ਤੇ ਚੱਲ ਰਹੀ ਪਹੁੰਚ ਅਤੇ ਨਿਰੰਤਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਰਿਮੋਟ ਨਿਗਰਾਨੀ ਅਤੇ ਪ੍ਰਬੰਧਨ ਸਾਧਨਾਂ (RMMs) ਦੀ ਸਥਾਪਨਾ ਤੋਂ ਬਾਅਦ ਹੁੰਦਾ ਹੈ।
ਸਟੌਰਮ-0501 ਦੁਆਰਾ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਦਾ ਸ਼ੋਸ਼ਣ
ਧਮਕੀ ਅਭਿਨੇਤਾ ਨੇ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪੜਾਅ ਦੇ ਦੌਰਾਨ ਸਮਝੌਤਾ ਕੀਤੇ ਸਥਾਨਕ ਉਪਕਰਣਾਂ ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤੇ ਪ੍ਰਬੰਧਕੀ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਦਾ ਪੂੰਜੀਕਰਣ ਕੀਤਾ, ਵੱਖ-ਵੱਖ ਤਰੀਕਿਆਂ ਦੁਆਰਾ ਨੈਟਵਰਕ ਦੇ ਅੰਦਰ ਆਪਣੀ ਪਹੁੰਚ ਨੂੰ ਵਧਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ। ਮੁੱਖ ਤੌਰ 'ਤੇ, ਉਨ੍ਹਾਂ ਨੇ ਇਮਪੈਕੇਟ ਦੇ ਸੀਕਰੇਟਸਡੰਪ ਮੋਡੀਊਲ ਨੂੰ ਨਿਯੁਕਤ ਕੀਤਾ, ਜੋ ਕਿ ਨੈੱਟਵਰਕ 'ਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ, ਕੀਮਤੀ ਲੌਗਇਨ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਲਈ ਇਸ ਨੂੰ ਡਿਵਾਈਸਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਵਿੱਚ ਵਰਤਦਾ ਹੈ।
ਇੱਕ ਵਾਰ ਜਦੋਂ ਉਹਨਾਂ ਨੇ ਇਹ ਸਮਝੌਤਾ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਪ੍ਰਾਪਤ ਕਰ ਲਏ, ਤਾਂ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੇ ਉਹਨਾਂ ਦੀ ਵਰਤੋਂ ਵਾਧੂ ਡਿਵਾਈਸਾਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਅਤੇ ਹੋਰ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਲਈ ਕੀਤੀ। ਇਸ ਪ੍ਰਕਿਰਿਆ ਦੇ ਦੌਰਾਨ, ਉਹਨਾਂ ਨੇ ਕੀਪਾਸ ਦੇ ਭੇਦ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਸੰਵੇਦਨਸ਼ੀਲ ਫਾਈਲਾਂ ਤੱਕ ਪਹੁੰਚ ਕੀਤੀ ਅਤੇ ਨਿਸ਼ਾਨਾ ਖਾਤਿਆਂ ਲਈ ਪ੍ਰਮਾਣ ਪੱਤਰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਬਰੂਟ-ਫੋਰਸ ਹਮਲੇ ਕੀਤੇ।
ਲੇਟਰਲ ਮੂਵਮੈਂਟ ਅਤੇ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸਟੌਰਮ-0501 ਨੂੰ ਨੈੱਟਵਰਕ ਦੇ ਅੰਦਰ ਪਾਸੇ ਦੀ ਗਤੀ ਲਈ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਦੇਖਿਆ ਹੈ, ਫਾਲੋ-ਆਨ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਚੋਰੀ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਆਨ-ਪ੍ਰੀਮਿਸ ਵਾਤਾਵਰਨ ਤੋਂ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਲਈ, ਉਹਨਾਂ ਨੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ MegaSync ਜਨਤਕ ਕਲਾਉਡ ਸਟੋਰੇਜ ਸੇਵਾ ਵਿੱਚ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਲਈ Rclone ਦੀ ਵਰਤੋਂ ਕੀਤੀ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੂੰ ਕਲਾਉਡ ਵਾਤਾਵਰਣਾਂ ਲਈ ਨਿਰੰਤਰ ਬੈਕਡੋਰ ਪਹੁੰਚ ਸਥਾਪਤ ਕਰਨ ਅਤੇ ਆਨ-ਪ੍ਰੀਮਿਸ ਸਿਸਟਮਾਂ 'ਤੇ ਰੈਨਸਮਵੇਅਰ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨ ਲਈ ਨੋਟ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਉਹਨਾਂ ਨੂੰ Octo Tempest ਅਤੇ Manatee Tempest ਵਰਗੇ ਸਮੂਹਾਂ ਦੇ ਨਕਸ਼ੇ ਕਦਮਾਂ 'ਤੇ ਚੱਲਦੇ ਹੋਏ, ਹਾਈਬ੍ਰਿਡ ਕਲਾਉਡ ਸੈਟਅਪਾਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਨ ਲਈ ਨਵੀਨਤਮ ਖ਼ਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰ ਵਜੋਂ ਚਿੰਨ੍ਹਿਤ ਕਰਦਾ ਹੈ।
ਕਲਾਊਡ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ
ਖ਼ਤਰੇ ਦੇ ਅਭਿਨੇਤਾ ਨੇ ਆਨ-ਪ੍ਰੀਮਿਸਿਸ ਸਿਸਟਮਾਂ ਤੋਂ ਕਲਾਉਡ ਵਾਤਾਵਰਣਾਂ ਤੱਕ ਲੈਟਰਲ ਗਤੀਵਿਧੀ ਦੀ ਸਹੂਲਤ ਲਈ, ਖਾਸ ਤੌਰ 'ਤੇ ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਐਂਟਰਾ ਆਈਡੀ (ਪਹਿਲਾਂ ਅਜ਼ੂਰ AD) ਤੋਂ ਵਾਢੀ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦਾ ਲਾਭ ਲਿਆ, ਟਾਰਗੇਟ ਨੈਟਵਰਕ ਤੱਕ ਨਿਰੰਤਰ ਪਹੁੰਚ ਲਈ ਇੱਕ ਨਿਰੰਤਰ ਬੈਕਡੋਰ ਸਥਾਪਤ ਕੀਤਾ।
ਕਲਾਉਡ ਵਿੱਚ ਇਹ ਤਬਦੀਲੀ ਆਮ ਤੌਰ 'ਤੇ ਜਾਂ ਤਾਂ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੇ Microsoft Entra Connect Sync ਉਪਭੋਗਤਾ ਖਾਤੇ ਦੁਆਰਾ ਜਾਂ ਕਲਾਉਡ ਵਿੱਚ ਇੱਕ ਐਡਮਿਨ ਖਾਤਾ ਰੱਖਣ ਵਾਲੇ ਆਨ-ਪ੍ਰੀਮਿਸ ਉਪਭੋਗਤਾ ਖਾਤੇ ਦੇ ਸੈਸ਼ਨ ਨੂੰ ਹਾਈਜੈਕ ਕਰਕੇ ਪ੍ਰਾਪਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਜੇਕਰ ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ (MFA) ਅਸਮਰੱਥ ਹੈ। .
Embargo Ransomware ਦੀ ਤੈਨਾਤੀ
ਜਦੋਂ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੇ ਨੈੱਟਵਰਕ 'ਤੇ ਕਾਫ਼ੀ ਨਿਯੰਤਰਣ ਪ੍ਰਾਪਤ ਕਰ ਲਿਆ ਅਤੇ ਦਿਲਚਸਪੀ ਦੀਆਂ ਫਾਈਲਾਂ ਨੂੰ ਸਫਲਤਾਪੂਰਵਕ ਬਾਹਰ ਕੱਢ ਲਿਆ ਤਾਂ ਹਮਲਾ ਪੀੜਤ ਸੰਗਠਨ ਵਿੱਚ ਐਮਬਾਰਗੋ ਰੈਨਸਮਵੇਅਰ ਦੀ ਤੈਨਾਤੀ ਵਿੱਚ ਸਮਾਪਤ ਹੁੰਦਾ ਹੈ। ਐਮਬਾਰਗੋ, ਇੱਕ ਜੰਗਾਲ-ਅਧਾਰਤ ਰੈਨਸਮਵੇਅਰ ਰੂਪ, ਪਹਿਲੀ ਵਾਰ ਮਈ 2024 ਵਿੱਚ ਪਛਾਣਿਆ ਗਿਆ ਸੀ।
ਇੱਕ Ransomware-as-a-Service (RaaS) ਮਾਡਲ ਦੇ ਅਧੀਨ ਕੰਮ ਕਰਦੇ ਹੋਏ, Embargo ਦੇ ਪਿੱਛੇ ਸਮੂਹ Storm-0501 ਵਰਗੀਆਂ ਸਹਿਯੋਗੀਆਂ ਨੂੰ ਰਿਹਾਈ ਦੀ ਪ੍ਰਤੀਸ਼ਤਤਾ ਦੇ ਬਦਲੇ ਹਮਲੇ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਇਸਦੇ ਪਲੇਟਫਾਰਮ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ। Embargo ਨਾਲ ਸਬੰਧਤ ਦੋਹਰੀ ਜਬਰ-ਜਨਾਹ ਦੀਆਂ ਚਾਲਾਂ ਨੂੰ ਵਰਤਦੇ ਹਨ, ਪੀੜਤ ਦੀਆਂ ਫਾਈਲਾਂ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਦੇ ਹਨ ਜਦੋਂ ਤੱਕ ਕਿ ਫਿਰੌਤੀ ਦਾ ਭੁਗਤਾਨ ਨਾ ਕੀਤੇ ਜਾਣ ਤੱਕ ਸੰਵੇਦਨਸ਼ੀਲ ਕਟਾਈ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਜਾਰੀ ਕਰਨ ਦੀ ਧਮਕੀ ਦਿੰਦੇ ਹਨ।
