புயல்-0501 அச்சுறுத்தல் நடிகர்

Storm-0501 எனப்படும் சைபர் கிரைமினல் குழு, அமெரிக்காவிற்குள் அரசாங்கம், உற்பத்தி, போக்குவரத்து மற்றும் சட்ட அமலாக்கம் போன்ற துறைகளில் தங்கள் ransomware தாக்குதல்களை செயல்படுத்த குறிப்பாக கவனம் செலுத்துகிறது. அவர்களின் பல-நிலை பிரச்சாரம் கலப்பின கிளவுட் சூழல்களில் ஊடுருவுவதை நோக்கமாகக் கொண்டுள்ளது, வளாகத்தில் உள்ள அமைப்புகளிலிருந்து கிளவுட் உள்கட்டமைப்புகளுக்கு பக்கவாட்டு இயக்கத்தை எளிதாக்குகிறது. இந்த மூலோபாயம் இறுதியில் தரவு வெளியேற்றம், நற்சான்றிதழ் திருட்டு, சேதப்படுத்துதல், தொடர்ச்சியான பின்கதவு அணுகல் மற்றும் ransomware வரிசைப்படுத்துதல் உள்ளிட்ட பல்வேறு தீங்கிழைக்கும் விளைவுகளுக்கு வழிவகுக்கிறது.

புயலின் பரிணாமம்-0501

Storm-0501 அதன் செயல்பாட்டின் மையத்தில் நிதி உந்துதல்களுடன் செயல்படுகிறது, அதன் ransomware செயல்பாடுகளை மேற்கொள்ள வணிக மற்றும் திறந்த மூல கருவிகளைப் பயன்படுத்துகிறது. 2021 ஆம் ஆண்டு முதல் செயலில் உள்ள இந்தக் குழு முதலில் சப்பாத் (54பிபி47எச்) ரான்சம்வேரைப் பயன்படுத்தி கல்வி நிறுவனங்களை குறிவைத்தது. காலப்போக்கில், அவை Ransomware-as-a-Service (RaaS) மாதிரியாக மாறி, ransomware பேலோடுகளின் வரம்பை வழங்குகின்றன. அவர்களின் தொகுப்பில் இப்போது ஹைவ், பிளாக் கேட் (ALPHV), ஹண்டர்ஸ் இன்டர்நேஷனல் , லாக்பிட் மற்றும் எம்பார்கோ ரான்சம்வேர் போன்ற பல்வேறு மோசமான விகாரங்கள் உள்ளன.

புயல்-0501 மூலம் பயன்படுத்தப்படும் ஆரம்ப தாக்குதல் திசையன்கள்

Storm-0501 இன் செயல்பாடுகளின் ஒரு குறிப்பிடத்தக்க பண்பு பலவீனமான நற்சான்றிதழ்கள் மற்றும் அதிக சலுகை பெற்ற கணக்குகளின் சுரண்டல் ஆகும், இது ஒரு நிறுவனத்தின் வளாகத்தில் உள்ள அமைப்புகளிலிருந்து கிளவுட் உள்கட்டமைப்புகளுக்கு தடையின்றி மாறுவதற்கு அவர்களுக்கு உதவுகிறது.

கூடுதலாக, அவர்கள் Storm-0249 மற்றும் Storm-0900 போன்ற அணுகல் தரகர்களால் நிறுவப்பட்ட கால்களை மேம்படுத்துதல் போன்ற பல்வேறு ஆரம்ப அணுகல் முறைகளைப் பயன்படுத்துகின்றனர். Zoho ManageEngine, Citrix NetScaler மற்றும் Adobe ColdFusion 2016 போன்ற தளங்களில் அறியப்பட்ட ரிமோட் குறியீடு செயல்படுத்தல் பாதிப்புகளைப் பயன்படுத்தி, இணைக்கப்படாத இணையத்தை எதிர்கொள்ளும் சேவையகங்களையும் அவர்கள் குறிவைக்கின்றனர்.

இந்த முறைகளில் ஏதேனும் ஒன்றைப் பயன்படுத்துவதன் மூலம், Storm-0501 அதிக மதிப்புள்ள சொத்துக்களை அடையாளம் காணவும், டொமைன் தகவல்களைச் சேகரிக்கவும் மற்றும் செயலில் உள்ள அடைவு விசாரணைகளை மேற்கொள்ளவும், விரிவான உளவுத்துறையை நடத்துவதற்கான வாய்ப்பைப் பெறுகிறது. இந்த கட்டம் பொதுவாக தொலைநிலை கண்காணிப்பு மற்றும் மேலாண்மை கருவிகளை (RMMs) நிறுவுவதன் மூலம் தொடர்ந்து அணுகல் மற்றும் நிலைத்தன்மையை உறுதிப்படுத்துகிறது.

புயல்-0501 மூலம் சலுகைகளை சுரண்டுதல்

அச்சுறுத்தல் நடிகர் ஆரம்ப அணுகல் கட்டத்தில் சமரசம் செய்யப்பட்ட உள்ளூர் சாதனங்களிலிருந்து பெறப்பட்ட நிர்வாக சலுகைகளைப் பயன்படுத்தி, பல்வேறு முறைகள் மூலம் நெட்வொர்க்கிற்குள் தங்கள் வரம்பை விரிவுபடுத்த முயன்றார். முதன்மையாக, அவர்கள் Impacket's SecretsDump தொகுதியைப் பயன்படுத்தினர், இது நெட்வொர்க்கில் நற்சான்றிதழ்களைப் பிரித்தெடுக்க உதவுகிறது, மதிப்புமிக்க உள்நுழைவுத் தகவலைச் சேகரிக்க பல்வேறு சாதனங்களில் அதைப் பயன்படுத்துகிறது.

இந்த சமரசம் செய்யப்பட்ட நற்சான்றிதழ்களை அவர்கள் பெற்றவுடன், அச்சுறுத்தல் நடிகர் அவற்றை கூடுதல் சாதனங்களில் ஊடுருவி மேலும் நற்சான்றிதழ்களைப் பிரித்தெடுத்தார். இந்தச் செயல்பாட்டின் போது, அவர்கள் KeePass இரகசியங்களை மீட்டெடுக்க முக்கியமான கோப்புகளை அணுகினர் மற்றும் இலக்கு வைக்கப்பட்ட கணக்குகளுக்கான நற்சான்றிதழ்களைப் பெறுவதற்கு முரட்டுத்தனமான தாக்குதல்களை செயல்படுத்தினர்.

பக்கவாட்டு இயக்கம் மற்றும் தரவு வெளியேற்றம்

புயல்-0501 நெட்வொர்க்கிற்குள் பக்கவாட்டு இயக்கத்திற்காக கோபால்ட் ஸ்ட்ரைக் பயன்படுத்துவதை ஆராய்ச்சியாளர்கள் கவனித்துள்ளனர், பின்தொடர்தல் கட்டளைகளை செயல்படுத்த திருடப்பட்ட நற்சான்றிதழ்களைப் பயன்படுத்துகின்றனர். வளாகத்தில் உள்ள சூழலில் இருந்து தரவுகளை வெளியேற்றுவதற்காக, மெகாசின்க் பொது கிளவுட் ஸ்டோரேஜ் சேவைக்கு முக்கியமான தரவை மாற்ற Rclone ஐப் பயன்படுத்தினர்.

மேலும், அச்சுறுத்தல் நடிகர் கிளவுட் சூழல்களுக்கு தொடர்ச்சியான பின்கதவு அணுகலை நிறுவுவதற்கும், வளாகத்தில் உள்ள கணினிகளில் ransomware ஐப் பயன்படுத்துவதற்கும் குறிப்பிடத்தக்கவர். Octo Tempest மற்றும் Manatee Tempest போன்ற குழுக்களின் அடிச்சுவடுகளைப் பின்பற்றி, கலப்பின கிளவுட் அமைப்புகளில் கவனம் செலுத்தும் சமீபத்திய அச்சுறுத்தல் நடிகராக இது அவர்களைக் குறிக்கிறது.

மேகத்தை குறிவைத்தல்

அச்சுறுத்தல் நடிகர், குறிப்பாக மைக்ரோசாஃப்ட் என்ட்ரா ஐடியிலிருந்து (முன்னர் அஸூர் ஏடி) அறுவடை செய்யப்பட்ட நற்சான்றிதழ்களைப் பயன்படுத்தி, வளாகத்தில் உள்ள அமைப்புகளிலிருந்து கிளவுட் சூழல்களுக்கு பக்கவாட்டு நகர்வை எளிதாக்கினார், இலக்கு நெட்வொர்க்கிற்கான தொடர்ச்சியான அணுகலுக்கான தொடர்ச்சியான பின்கதவை நிறுவினார்.

மேகக்கணிக்கான இந்த மாற்றம் பொதுவாக சமரசம் செய்யப்பட்ட மைக்ரோசாஃப்ட் என்ட்ரா கனெக்ட் சின்க் பயனர் கணக்கு மூலமாகவோ அல்லது கிளவுட்டில் நிர்வாகக் கணக்கைக் கொண்டிருக்கும் வளாகத்தில் உள்ள பயனர் கணக்கின் அமர்வை கடத்துவதன் மூலமாகவோ அடையப்படுகிறது, குறிப்பாக பல காரணி அங்கீகாரம் (எம்எஃப்ஏ) முடக்கப்பட்டிருந்தால். .

தடை ரான்சம்வேரின் வரிசைப்படுத்தல்

அச்சுறுத்தல் நடிகர் நெட்வொர்க்கில் போதுமான கட்டுப்பாட்டைப் பெற்று, ஆர்வமுள்ள கோப்புகளை வெற்றிகரமாக வெளியேற்றியதும், பாதிக்கப்பட்ட அமைப்பு முழுவதும் எம்பார்கோ ransomware வரிசைப்படுத்தப்படுவதில் தாக்குதல் முடிவடைகிறது. எம்பார்கோ, ரஸ்ட் அடிப்படையிலான ransomware மாறுபாடு, முதலில் மே 2024 இல் அடையாளம் காணப்பட்டது.

Ransomware-as-a-Service (RaaS) மாதிரியின் கீழ் செயல்படும், எம்பார்கோவின் பின்னால் உள்ள குழு Storm-0501 போன்ற துணை நிறுவனங்களை மீட்கும் தொகையின் சதவீதத்திற்கு ஈடாக தாக்குதல்களைத் தொடங்க அதன் தளத்தைப் பயன்படுத்த அனுமதிக்கிறது. Embargo துணை நிறுவனங்கள் இரட்டை மிரட்டி பணம் பறிக்கும் தந்திரங்களைக் கையாள்கின்றன, பாதிக்கப்பட்டவரின் கோப்புகளை குறியாக்கம் செய்கின்றன, அதே நேரத்தில் மீட்கும் தொகை செலுத்தப்படாவிட்டால், முக்கியமான அறுவடை செய்யப்பட்ட தரவை வெளியிடுவதாக அச்சுறுத்துகின்றன.