Oferta rabatowa na wiele licencji
Baza danych zagrożeń Zaawansowane trwałe zagrożenie (APT) Aktor zagrożenia Storm-0501

Aktor zagrożenia Storm-0501

Do Mezo w Zaawansowane trwałe zagrożenie (APT), Oprogramowanie wymuszające okup, Trojany
Przetłumacz na:
Polski

Grupa cyberprzestępców znana jako Storm-0501 skupiła się konkretnie na sektorach takich jak administracja publiczna, produkcja, transport i egzekwowanie prawa w Stanach Zjednoczonych, aby przeprowadzać ataki ransomware. Ich wieloetapowa kampania ma na celu infiltrację hybrydowych środowisk chmurowych, ułatwiając ruch boczny z systemów lokalnych do infrastruktury chmurowej. Ta strategia ostatecznie prowadzi do różnych złośliwych skutków, w tym eksfiltracji danych, kradzieży poświadczeń, manipulacji, uporczywego dostępu tylnymi drzwiami i wdrażania ransomware.

Ewolucja Storm-0501

Storm-0501 działa z motywacją finansową w centrum swoich działań, wykorzystując zarówno narzędzia komercyjne, jak i open-source do przeprowadzania operacji ransomware. Aktywna od 2021 roku grupa ta początkowo atakowała instytucje edukacyjne, używając Sabbath (54bb47h) Ransomware. Z czasem przeszła na model Ransomware-as-a-Service (RaaS), dostarczając szereg ładunków ransomware. Ich repertuar obejmuje teraz różne znane szczepy, takie jak Hive, BlackCat (ALPHV), Hunters International , LockBit i Embargo Ransomware .

Początkowe wektory ataku wykorzystywane przez Storm-0501

Istotną cechą działań Storm-0501 jest wykorzystywanie słabych danych uwierzytelniających i nadmiernie uprawnionych kont, co pozwala na płynne przejście z lokalnych systemów organizacji do infrastruktury chmurowej.

Ponadto stosują różne metody początkowego dostępu, takie jak wykorzystywanie przyczółków ustanowionych przez brokerów dostępu, takich jak Storm-0249 i Storm-0900. Mają również na celu niezałatane serwery skierowane do Internetu, wykorzystując znane luki w zabezpieczeniach umożliwiające zdalne wykonywanie kodu na platformach, takich jak Zoho ManageEngine, Citrix NetScaler i Adobe ColdFusion 2016.

Wykorzystując dowolną z tych metod, Storm-0501 zyskuje możliwość przeprowadzenia rozległego rozpoznania, co pozwala mu identyfikować aktywa o wysokiej wartości, zbierać informacje o domenach i przeprowadzać dochodzenia w Active Directory. Po tej fazie następuje zazwyczaj instalacja narzędzi zdalnego monitorowania i zarządzania (RMM), aby zapewnić stały dostęp i trwałość.

Wykorzystywanie uprawnień przez Storm-0501

Aktor zagrożenia wykorzystał uprawnienia administracyjne uzyskane z zainfekowanych urządzeń lokalnych podczas początkowej fazy dostępu, próbując rozszerzyć swój zasięg w sieci za pomocą różnych metod. Przede wszystkim wykorzystali moduł SecretsDump firmy Impacket, który ułatwia ekstrakcję poświadczeń w sieci, wykorzystując go w szerokiej gamie urządzeń do zbierania cennych informacji logowania.

Po zdobyciu tych naruszonych danych uwierzytelniających, sprawca zagrożenia wykorzystał je do infiltracji dodatkowych urządzeń i wydobycia kolejnych danych uwierzytelniających. Podczas tego procesu uzyskali dostęp do poufnych plików, aby odzyskać sekrety KeePass i wykonali ataki siłowe, aby uzyskać dane uwierzytelniające dla wybranych kont.

Ruch boczny i eksfiltracja danych

Badacze zaobserwowali, że Storm-0501 wykorzystuje Cobalt Strike do ruchu poziomego w sieci, wykorzystując skradzione dane uwierzytelniające do wykonywania kolejnych poleceń. W celu eksfiltracji danych ze środowiska lokalnego wykorzystali Rclone do przesyłania poufnych danych do publicznej usługi przechowywania danych w chmurze MegaSync.

Ponadto aktor zagrożenia został zauważony za ustanowienie trwałego dostępu backdoor do środowisk chmurowych i wdrażanie ransomware w systemach lokalnych. Oznacza to, że jest on najnowszym aktorem zagrożenia, który skupił się na hybrydowych konfiguracjach chmurowych, podążając śladami grup takich jak Octo Tempest i Manatee Tempest.

Celowanie w chmurę

Atakujący wykorzystał zdobyte dane uwierzytelniające, zwłaszcza te z Microsoft Entra ID (dawniej Azure AD), aby ułatwić sobie przemieszczanie się z systemów lokalnych do środowisk w chmurze, tworząc trwałe tylne wejście umożliwiające stały dostęp do sieci docelowej.

Przejście do chmury odbywa się zazwyczaj za pośrednictwem przejętego konta użytkownika Microsoft Entra Connect Sync lub poprzez przejęcie sesji lokalnego konta użytkownika, do którego przypisane jest konto administratora w chmurze, szczególnie jeśli uwierzytelnianie wieloskładnikowe (MFA) jest wyłączone.

Wdrożenie oprogramowania Embargo Ransomware

Atak kończy się wdrożeniem oprogramowania ransomware Embargo w całej organizacji ofiary, gdy sprawca zagrożenia uzyska wystarczającą kontrolę nad siecią i pomyślnie wyekstrahuje interesujące go pliki. Embargo, wariant oprogramowania ransomware opartego na Rust, został po raz pierwszy zidentyfikowany w maju 2024 r.

Działając w ramach modelu Ransomware-as-a-Service (RaaS), grupa stojąca za Embargo pozwala podmiotom stowarzyszonym, takim jak Storm-0501, wykorzystywać swoją platformę do przeprowadzania ataków w zamian za procent od okupu. Podmioty stowarzyszone Embargo stosują podwójne taktyki wymuszenia, szyfrując pliki ofiary, jednocześnie grożąc ujawnieniem poufnych zebranych danych, jeśli okup nie zostanie zapłacony.

Popularne

Oszustwo e-mailowe dotyczące wygaśnięcia hasła...

Phishing, Spam
W dzisiejszej erze cyfrowej stała czujność jest kluczowa podczas przeglądania sieci lub zarządzania kontami online. Cyberprzestępcy ciągle wymyślają nowe metody, aby oszukać użytkowników i zmusić ich do ujawnienia poufnych informacji, a taktyki phishingu pozostają jedną z ich najskuteczniejszych taktyk.email scam.' Ta taktyka przedstawia się jako pilna wiadomość o wygaśnięciu hasła, ale jej...

Najczęściej oglądane

Ładowanie...