Шторм-0501 Угроза Актер
Киберпреступная группа, известная как Storm-0501, специально сосредоточилась на таких секторах, как правительство, производство, транспорт и правоохранительные органы в Соединенных Штатах, чтобы осуществлять свои атаки с использованием программ-вымогателей. Их многоэтапная кампания направлена на проникновение в гибридные облачные среды, облегчая горизонтальное перемещение из локальных систем в облачные инфраструктуры. Эта стратегия в конечном итоге приводит к различным вредоносным результатам, включая эксфильтрацию данных, кражу учетных данных, подделку, постоянный доступ через бэкдор и развертывание программ-вымогателей.
Оглавление
Эволюция Шторма-0501
Storm-0501 работает с финансовыми мотивами в основе своей деятельности, используя как коммерческие, так и открытые инструменты для выполнения своих операций по вымогательству. Эта группа, действующая с 2021 года, изначально нацелилась на образовательные учреждения, используя Sabbath (54bb47h) Ransomware. Со временем они перешли на модель Ransomware-as-a-Service (RaaS), предоставляя ряд полезных нагрузок для вымогателей. Теперь в их репертуар входят различные печально известные штаммы, такие как Hive, BlackCat (ALPHV), Hunters International , LockBit и Embargo Ransomware .
Первоначальные векторы атак, используемые Storm-0501
Одной из важных особенностей деятельности Storm-0501 является использование ими слабых учетных данных и чрезмерно привилегированных учетных записей, что позволяет им беспрепятственно переходить из локальных систем организации в облачные инфраструктуры.
Кроме того, они используют различные методы начального доступа, такие как использование точек опоры, созданных брокерами доступа, такими как Storm-0249 и Storm-0900. Они также нацелены на неисправленные серверы с выходом в Интернет, эксплуатируя известные уязвимости удаленного выполнения кода на таких платформах, как Zoho ManageEngine, Citrix NetScaler и Adobe ColdFusion 2016.
Используя любой из этих методов, Storm-0501 получает возможность провести обширную разведку, что позволяет им идентифицировать ценные активы, собирать информацию о доменах и проводить расследования Active Directory. За этой фазой обычно следует установка инструментов удаленного мониторинга и управления (RMM) для обеспечения постоянного доступа и сохранения.
Эксплуатация привилегий Штормом-0501
Злоумышленник воспользовался административными привилегиями, полученными от скомпрометированных локальных устройств на начальном этапе доступа, пытаясь расширить свое влияние в сети различными методами. В первую очередь, они использовали модуль SecretsDump компании Impacket, который облегчает извлечение учетных данных по сети, используя его на широком спектре устройств для сбора ценной информации о входе в систему.
Получив эти скомпрометированные учетные данные, злоумышленник использовал их для проникновения на дополнительные устройства и извлечения дополнительных учетных данных. В ходе этого процесса они получили доступ к конфиденциальным файлам, чтобы извлечь секреты KeePass, и выполнили атаки методом подбора, чтобы получить учетные данные для целевых учетных записей.
Боковое перемещение и утечка данных
Исследователи наблюдали, как Storm-0501 использовал Cobalt Strike для горизонтального перемещения в сети, используя украденные учетные данные для выполнения последующих команд. Для эксфильтрации данных из локальной среды они использовали Rclone для передачи конфиденциальных данных в общедоступную облачную службу хранения MegaSync.
Кроме того, этот субъект угроз был отмечен за создание постоянного бэкдор-доступа к облачным средам и развертывание программ-вымогателей в локальных системах. Это делает их последним субъектом угроз, сосредоточившимся на гибридных облачных конфигурациях, следуя по стопам таких групп, как Octo Tempest и Manatee Tempest.
Нацеленность на облако
Злоумышленник использовал собранные учетные данные, в частности данные из Microsoft Entra ID (ранее Azure AD), для упрощения горизонтального перемещения из локальных систем в облачные среды, создавая постоянную лазейку для постоянного доступа к целевой сети.
Такой переход в облако обычно достигается либо посредством взлома учетной записи пользователя Microsoft Entra Connect Sync, либо путем перехвата сеанса локальной учетной записи пользователя, имеющей учетную запись администратора в облаке, особенно если отключена многофакторная аутентификация (MFA).
Развертывание программы-вымогателя Embargo
Атака завершается развертыванием программы-вымогателя Embargo по всей организации-жертве после того, как злоумышленник получает достаточный контроль над сетью и успешно извлекает файлы, представляющие интерес. Embargo, вариант программы-вымогателя на основе Rust, был впервые обнаружен в мае 2024 года.
Действуя по модели Ransomware-as-a-Service (RaaS), группа, стоящая за Embargo, позволяет своим партнерам, таким как Storm-0501, использовать свою платформу для запуска атак в обмен на процент от выкупа. Партнеры Embargo используют тактику двойного вымогательства, шифруя файлы жертвы и одновременно угрожая раскрыть собранные конфиденциальные данные, если выкуп не будет выплачен.
