Storm-0501 Threat Actor
Skupina kibernetskih kriminalcev, znana kot Storm-0501, se je posebej osredotočila na sektorje, kot so vlada, proizvodnja, transport in kazenski pregon v Združenih državah, da bi izvedla svoje napade z izsiljevalsko programsko opremo. Njihova večstopenjska kampanja je namenjena infiltraciji v hibridna oblačna okolja, kar olajša stransko premikanje od lokalnih sistemov do infrastruktur v oblaku. Ta strategija na koncu vodi do različnih zlonamernih izidov, vključno z izruvanjem podatkov, krajo poverilnic, poseganjem, vztrajnim dostopom skozi stranska vrata in uvedbo izsiljevalske programske opreme.
Kazalo
Razvoj Storm-0501
Storm-0501 deluje s finančnimi motivi v središču svojih dejavnosti, pri čemer uporablja komercialna in odprtokodna orodja za izvajanje svojih operacij izsiljevalske programske opreme. Ta skupina, ki deluje od leta 2021, je sprva ciljala na izobraževalne ustanove, ki uporabljajo Sabbath (54bb47h) Ransomware. Sčasoma so prešli na model Ransomware-as-a-Service (RaaS), ki zagotavlja vrsto obremenitve izsiljevalske programske opreme. Njihov repertoar zdaj vključuje različne razvpite vrste, kot so Hive, BlackCat (ALPHV), Hunters International , LockBit in Embargo Ransomware .
Začetni vektorji napadov, ki jih uporablja Storm-0501
Ena od pomembnih značilnosti operacij Storm-0501 je njihovo izkoriščanje šibkih poverilnic in preveč privilegiranih računov, kar jim omogoča nemoten prehod iz lokalnih sistemov organizacije v infrastrukturo v oblaku.
Poleg tega uporabljajo različne metode začetnega dostopa, kot je izkoriščanje opornikov, ki so jih vzpostavili posredniki dostopa, kot sta Storm-0249 in Storm-0900. Ciljajo tudi na nepopravljene strežnike, usmerjene v internet, pri čemer izkoriščajo znane ranljivosti oddaljenega izvajanja kode na platformah, kot so Zoho ManageEngine, Citrix NetScaler in Adobe ColdFusion 2016.
Z uporabo katere koli od teh metod Storm-0501 pridobi priložnost za izvajanje obsežnega izvidovanja, kar jim omogoča identifikacijo sredstev visoke vrednosti, zbiranje informacij o domeni in izvajanje preiskav Active Directory. Tej fazi običajno sledi namestitev orodij za daljinsko spremljanje in upravljanje (RMM), da se zagotovi stalen dostop in obstojnost.
Izkoriščanje privilegijev Storm-0501
Akter grožnje je izkoristil skrbniške privilegije, pridobljene od ogroženih lokalnih naprav med fazo začetnega dostopa, in poskušal z različnimi metodami razširiti svoj doseg v omrežju. Predvsem so uporabili Impacketov modul SecretsDump, ki olajša pridobivanje poverilnic prek omrežja in ga uporablja v širokem naboru naprav za zbiranje dragocenih podatkov za prijavo.
Ko so pridobili te ogrožene poverilnice, jih je povzročitelj grožnje uporabil za infiltracijo v dodatne naprave in pridobivanje več poverilnic. Med tem procesom so dostopali do občutljivih datotek, da bi pridobili skrivnosti KeePass, in izvedli napade s surovo silo, da bi pridobili poverilnice za ciljne račune.
Bočno gibanje in izločanje podatkov
Raziskovalci so opazili, da Storm-0501 uporablja Cobalt Strike za bočno premikanje znotraj omrežja, pri čemer uporablja ukradene poverilnice za izvajanje nadaljnjih ukazov. Za izločanje podatkov iz lokalnega okolja so uporabili Rclone za prenos občutljivih podatkov v javno storitev za shranjevanje v oblaku MegaSync.
Poleg tega je bil akter grožnje znan po vzpostavljanju trajnega zakulisnega dostopa do okolij v oblaku in nameščanju izsiljevalske programske opreme v sistemih na mestu uporabe. To jih označuje kot najnovejšega akterja grožnje, ki se osredotoča na hibridne nastavitve v oblaku, po stopinjah skupin, kot sta Octo Tempest in Manatee Tempest.
Ciljanje na oblak
Akter grožnje je izkoristil zbrane poverilnice, zlasti tiste iz Microsoft Entra ID (prej Azure AD), da bi olajšal stransko premikanje iz lokalnih sistemov v okolja v oblaku in vzpostavil trajna stranska vrata za stalen dostop do ciljnega omrežja.
Ta prehod v oblak je običajno dosežen prek ogroženega uporabniškega računa Microsoft Entra Connect Sync ali z ugrabitvijo seje lokalnega uporabniškega računa, ki ima skrbniški račun v oblaku, zlasti če je onemogočeno večfaktorsko preverjanje pristnosti (MFA). .
Namestitev izsiljevalske programske opreme Embargo
Napad doseže vrhunec z namestitvijo izsiljevalske programske opreme Embargo v celotno organizacijo žrtve, ko akter grožnje zagotovi zadosten nadzor nad omrežjem in uspešno izloči zanimive datoteke. Embargo, različica izsiljevalske programske opreme, ki temelji na Rustu, je bila prvič identificirana maja 2024.
Skupina, ki stoji za Embargom, ki deluje po modelu Ransomware-as-a-Service (RaaS), dovoljuje podružnicam, kot je Storm-0501, da uporabljajo njeno platformo za izvajanje napadov v zameno za odstotek odkupnine. Podružnice embarga uporabljajo dvojno taktiko izsiljevanja, šifrirajo datoteke žrtve, hkrati pa grozijo, da bodo izdale občutljive pridobljene podatke, razen če je plačana odkupnina.
