Herec hrozieb Storm-0501
Skupina kyberzločincov známa ako Storm-0501 sa špecificky zamerala na sektory, ako je vláda, výroba, doprava a presadzovanie práva v Spojených štátoch, aby vykonali svoje ransomvérové útoky. Ich viacstupňová kampaň má za cieľ preniknúť do hybridných cloudových prostredí a uľahčiť laterálny pohyb z lokálnych systémov do cloudových infraštruktúr. Táto stratégia v konečnom dôsledku vedie k rôznym škodlivým výsledkom, vrátane exfiltrácie údajov, krádeže poverení, manipulácie, trvalého prístupu cez zadné vrátka a nasadenia ransomvéru.
Obsah
Evolúcia búrky-0501
Storm-0501 pracuje s finančnými motiváciami v jadre svojich aktivít, pričom na vykonávanie svojich operácií ransomvéru využíva komerčné aj open source nástroje. Táto skupina, ktorá je aktívna od roku 2021, sa pôvodne zamerala na vzdelávacie inštitúcie používajúce ransomvér Sabbath (54bb47h). Postupom času prešli na model Ransomware-as-a-Service (RaaS), ktorý poskytuje celý rad užitočných zaťažení ransomvéru. Ich repertoár teraz zahŕňa rôzne notoricky známe kmene ako Hive, BlackCat (ALPHV), Hunters International , LockBit a Embargo Ransomware .
Počiatočné útočné vektory využívané Storm-0501
Jednou z významných charakteristík operácií Storm-0501 je ich využívanie slabých poverení a príliš privilegovaných účtov, čo im umožňuje bezproblémový prechod z lokálnych systémov organizácie na cloudové infraštruktúry.
Okrem toho využívajú rôzne počiatočné prístupové metódy, ako je využívanie oporných bodov vytvorených maklérmi prístupu ako Storm-0249 a Storm-0900. Zameriavajú sa aj na neopravené servery orientované na internet, pričom využívajú známe zraniteľnosti pri spúšťaní kódu na diaľku na platformách ako Zoho ManageEngine, Citrix NetScaler a Adobe ColdFusion 2016.
Využitím ktorejkoľvek z týchto metód získava Storm-0501 možnosť vykonávať rozsiahly prieskum, ktorý im umožňuje identifikovať vysokohodnotné aktíva, zbierať informácie o doméne a vykonávať prieskumy služby Active Directory. Po tejto fáze zvyčajne nasleduje inštalácia nástrojov na vzdialené monitorovanie a správu (RMM), aby sa zabezpečil trvalý prístup a trvalosť.
Využívanie privilégií pomocou Storm-0501
Hrozbový aktér zarábal na administratívnych privilégiách získaných z kompromitovaných miestnych zariadení počas počiatočnej fázy prístupu a pokúšal sa rozšíriť ich dosah v rámci siete rôznymi metódami. Využili predovšetkým modul Impacket's SecretsDump, ktorý uľahčuje extrakciu poverení cez sieť a využíva ho v širokej škále zariadení na zhromažďovanie cenných prihlasovacích informácií.
Keď získali tieto ohrozené poverenia, aktér hrozby ich použil na infiltráciu ďalších zariadení a extrahovanie ďalších poverení. Počas tohto procesu získali prístup k citlivým súborom, aby získali tajomstvá KeePass, a vykonali útoky hrubou silou, aby získali poverenia pre cielené účty.
Laterálny pohyb a exfiltrácia dát
Výskumníci pozorovali, ako Storm-0501 využíva Cobalt Strike na bočný pohyb v rámci siete, pričom využíva ukradnuté poverenia na vykonávanie následných príkazov. Na extrakciu údajov z lokálneho prostredia využili Rclone na prenos citlivých údajov do služby verejného cloudového úložiska MegaSync.
Okrem toho, aktér hrozby bol známy tým, že vytvoril trvalý prístup backdoor do cloudových prostredí a nasadil ransomvér na lokálne systémy. To ich označuje za najnovšieho aktéra v oblasti hrozieb, ktorý sa zameriava na nastavenia hybridného cloudu, v stopách skupín ako Octo Tempest a Manatee Tempest.
Zameranie na cloud
Hrozbový aktér využíval zozbierané poverenia, najmä tie z Microsoft Entra ID (predtým Azure AD), aby uľahčil laterálny presun z lokálnych systémov do cloudových prostredí, čím vytvoril trvalé zadné vrátka pre trvalý prístup k cieľovej sieti.
Tento prechod do cloudu sa zvyčajne dosiahne buď prostredníctvom kompromitovaného používateľského účtu Microsoft Entra Connect Sync alebo ukradnutím relácie lokálneho používateľského účtu, ktorý má účet správcu v cloude, najmä ak je zakázaná viacfaktorová autentifikácia (MFA). .
Nasadenie ransomvéru Embargo
Útok vyvrcholí rozmiestnením ransomvéru Embargo v celej organizácii obetí, keď si aktér hrozby zaistil dostatočnú kontrolu nad sieťou a úspešne prenikol do záujmových súborov. Embargo, variant ransomvéru založený na hrdze, bol prvýkrát identifikovaný v máji 2024.
Skupina stojaca za embargom, ktorá funguje na základe modelu Ransomware-as-a-Service (RaaS), povoľuje pridruženým spoločnostiam ako Storm-0501 využívať svoju platformu na spustenie útokov výmenou za určité percento výkupného. Pridružené spoločnosti embarga využívajú dvojitú vydieračskú taktiku, šifrujú súbory obete a zároveň sa vyhrážajú uvoľnením citlivých zozbieraných údajov, pokiaľ nebude zaplatené výkupné.
