Олуја-0501 Глумац претње
Група сајбер криминалаца позната као Сторм-0501 се посебно фокусирала на секторе као што су влада, производња, транспорт и спровођење закона у Сједињеним Државама како би извршили своје нападе рансомвером. Њихова вишестепена кампања има за циљ да се инфилтрира у хибридна окружења у облаку, олакшавајући бочно кретање од локалних система ка инфраструктури у облаку. Ова стратегија на крају доводи до различитих злонамерних исхода, укључујући ексфилтрацију података, крађу акредитива, манипулисање, упоран приступ бацкдоор-у и примену рансомваре-а.
Преглед садржаја
Еволуција Олује-0501
Сторм-0501 послује са финансијским мотивима у сржи својих активности, користећи и комерцијалне алате и алате отвореног кода за обављање својих операција рансомваре-а. Активна од 2021. године, ова група је првобитно циљала образовне институције користећи Саббатх (54бб47х) Рансомваре. Временом су прешли у модел Рансомваре-ас-а-Сервице (РааС), пружајући низ корисних оптерећења рансомваре-а. Њихов репертоар сада укључује разне озлоглашене сојеве као што су Хиве, БлацкЦат (АЛПХВ), Хунтерс Интернатионал , ЛоцкБит и Ембарго Рансомваре .
Вектори почетних напада које користи Сторм-0501
Једна значајна карактеристика операција Сторм-0501 је њихова експлоатација слабих акредитива и превише привилегованих налога, што им омогућава да без проблема пређу са локалних система организације на инфраструктуру у облаку.
Поред тога, они користе различите методе почетног приступа, као што је коришћење упоришта које су успоставили брокери приступа као што су Сторм-0249 и Сторм-0900. Такође циљају на незакрпљене сервере окренуте према Интернету, искоришћавајући познате рањивости даљинског извршавања кода на платформама као што су Зохо МанагеЕнгине, Цитрик НетСцалер и Адобе ЦолдФусион 2016.
Коришћењем било које од ових метода, Сторм-0501 добија прилику да спроведе опсежно извиђање, омогућавајући им да идентификују имовину високе вредности, прикупе информације о домену и спроведу Ацтиве Дирецтори истраге. Ову фазу обично прати инсталација алата за даљинско праћење и управљање (РММ) како би се осигурао стални приступ и постојаност.
Искоришћавање привилегија од стране Олује-0501
Учесник претње је искористио административне привилегије добијене од компромитованих локалних уређаја током почетне фазе приступа, покушавајући да прошири свој домет унутар мреже разним методама. Првенствено су користили Имппацкет-ов СецретсДумп модул, који олакшава екстракцију акредитива преко мреже, користећи га на широком спектру уређаја за прикупљање драгоцених информација за пријаву.
Једном када су стекли ове компромитоване акредитиве, актер претње их је користио да инфилтрира додатне уређаје и извуче још акредитива. Током овог процеса, приступили су осетљивим датотекама да би преузели КееПасс тајне и извршили нападе грубом силом да би добили акредитиве за циљане налоге.
Бочно кретање и ексфилтрација података
Истраживачи су приметили да Олуја-0501 користи Цобалт Стрике за бочно кретање унутар мреже, користећи украдене акредитиве за извршавање наредних команди. За ексфилтрацију података из локалног окружења, користили су Рцлоне за пренос осетљивих података на МегаСинц јавни сервис за складиштење у облаку.
Штавише, актер претње је познат по томе што је успоставио упорни бацкдоор приступ окружењима у облаку и применио рансомваре на локалним системима. Ово их означава као најновије претње који се фокусирају на подешавања хибридног облака, пратећи кораке група као што су Оцто Темпест и Манатее Темпест.
Циљање облака
Актер претње је искористио прикупљене акредитиве, посебно оне из Мицрософт Ентра ИД-а (раније Азуре АД), да би олакшао бочно кретање са локалних система у окружења у облаку, успостављајући упорна позадинска врата за стални приступ циљној мрежи.
Овај прелазак на облак се обично постиже или путем компромитованог Мицрософт Ентра Цоннецт Синц корисничког налога или отмицом сесије локалног корисничког налога који поседује администраторски налог у облаку, посебно ако је вишефакторска аутентификација (МФА) онемогућена .
Примена Ембарго Рансомваре-а
Напад кулминира увођењем Ембарго рансомваре-а широм организације жртве када актер претње обезбеди довољну контролу над мрежом и успешно ексфилтрира фајлове од интереса. Ембарго, варијанта рансомваре-а заснована на Руст-у, први пут је идентификована у мају 2024.
Радећи према моделу Рансомваре-ас-а-Сервице (РааС), група која стоји иза Ембарга дозвољава филијалама попут Сторм-0501 да користе своју платформу за покретање напада у замену за проценат откупнине. Подружнице Ембарга користе тактику двоструког изнуђивања, шифровање датотека жртве док истовремено прете да ће објавити осетљиве прикупљене податке уколико се откупнина не плати.
