తుఫాను-0501 థ్రెట్ యాక్టర్

Storm-0501 అని పిలవబడే సైబర్ నేర సమూహం యునైటెడ్ స్టేట్స్‌లోని ప్రభుత్వం, తయారీ, రవాణా మరియు చట్ట అమలు వంటి రంగాలపై వారి ransomware దాడులను అమలు చేయడానికి ప్రత్యేకంగా దృష్టి సారించింది. వారి బహుళ-దశల ప్రచారం హైబ్రిడ్ క్లౌడ్ పరిసరాలలోకి చొరబడాలని లక్ష్యంగా పెట్టుకుంది, ఆన్-ప్రాంగణ వ్యవస్థల నుండి క్లౌడ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌లకు పార్శ్వ కదలికను సులభతరం చేస్తుంది. ఈ వ్యూహం చివరికి డేటా ఎక్స్‌ఫిల్ట్రేషన్, క్రెడెన్షియల్ చోరీ, ట్యాంపరింగ్, నిరంతర బ్యాక్‌డోర్ యాక్సెస్ మరియు ransomware యొక్క విస్తరణతో సహా వివిధ హానికరమైన ఫలితాలకు దారి తీస్తుంది.

ది ఎవల్యూషన్ ఆఫ్ స్టార్మ్-0501

Storm-0501 దాని కార్యకలాపాల యొక్క ప్రధాన భాగంలో ఆర్థిక ప్రేరణలతో పనిచేస్తుంది, దాని ransomware కార్యకలాపాలను నిర్వహించడానికి వాణిజ్య మరియు ఓపెన్-సోర్స్ సాధనాలను ఉపయోగిస్తుంది. 2021 నుండి సక్రియంగా ఉంది, ఈ గుంపు మొదట సబ్బాత్ (54bb47h) Ransomwareని ఉపయోగించి విద్యా సంస్థలను లక్ష్యంగా చేసుకుంది. కాలక్రమేణా, వారు Ransomware-as-a-Service (RaaS) మోడల్‌గా మారారు, ransomware పేలోడ్‌ల శ్రేణిని అందిస్తారు. వారి కచేరీలలో ఇప్పుడు హైవ్, బ్లాక్‌క్యాట్ (ALPHV), హంటర్స్ ఇంటర్నేషనల్ , లాక్‌బిట్ మరియు ఎంబార్గో రాన్సమ్‌వేర్ వంటి అనేక అపఖ్యాతి పాలైన జాతులు ఉన్నాయి.

స్టార్మ్-0501 ద్వారా ఉపయోగించబడిన ప్రారంభ దాడి వెక్టర్స్

Storm-0501 యొక్క కార్యకలాపాల యొక్క ఒక ముఖ్యమైన లక్షణం బలహీనమైన ఆధారాలు మరియు అధిక ప్రాధాన్యత కలిగిన ఖాతాల దోపిడీ, ఇది సంస్థ యొక్క ఆన్-ప్రాంగణ వ్యవస్థల నుండి క్లౌడ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌లకు సజావుగా మారడానికి వీలు కల్పిస్తుంది.

అదనంగా, వారు Storm-0249 మరియు Storm-0900 వంటి యాక్సెస్ బ్రోకర్ల ద్వారా స్థాపించబడిన ఫుట్‌హోల్డ్‌లను ప్రభావితం చేయడం వంటి వివిధ ప్రారంభ యాక్సెస్ పద్ధతులను ఉపయోగిస్తారు. Zoho ManageEngine, Citrix NetScaler మరియు Adobe ColdFusion 2016 వంటి ప్లాట్‌ఫారమ్‌లలో తెలిసిన రిమోట్ కోడ్ ఎగ్జిక్యూషన్ దుర్బలత్వాలను ఉపయోగించుకుంటూ అన్‌ప్యాచ్డ్ ఇంటర్నెట్ ఫేసింగ్ సర్వర్‌లను కూడా వారు లక్ష్యంగా చేసుకుంటారు.

ఈ పద్ధతుల్లో దేనినైనా ఉపయోగించడం ద్వారా, Storm-0501 అధిక-విలువ గల ఆస్తులను గుర్తించడానికి, డొమైన్ సమాచారాన్ని సేకరించడానికి మరియు యాక్టివ్ డైరెక్టరీ పరిశోధనలను నిర్వహించడానికి వీలు కల్పిస్తూ విస్తృతమైన నిఘాను నిర్వహించడానికి అవకాశాన్ని పొందుతుంది. ఈ దశ సాధారణంగా కొనసాగుతున్న యాక్సెస్ మరియు నిలకడను నిర్ధారించడానికి రిమోట్ మానిటరింగ్ మరియు మేనేజ్‌మెంట్ టూల్స్ (RMMలు) యొక్క ఇన్‌స్టాలేషన్ ద్వారా అనుసరించబడుతుంది.

స్టార్మ్-0501 ద్వారా ప్రత్యేకాధికారాల దోపిడీ

బెదిరింపు నటుడు ప్రారంభ యాక్సెస్ దశలో రాజీపడిన స్థానిక పరికరాల నుండి పొందిన పరిపాలనా అధికారాలను ఉపయోగించుకున్నాడు, వివిధ పద్ధతుల ద్వారా నెట్‌వర్క్‌లో తమ పరిధిని విస్తరించడానికి ప్రయత్నించాడు. ప్రాథమికంగా, వారు Impacket యొక్క సీక్రెట్స్‌డంప్ మాడ్యూల్‌ను ఉపయోగించారు, ఇది నెట్‌వర్క్‌లో ఆధారాలను వెలికితీసేందుకు సులభతరం చేస్తుంది, విలువైన లాగిన్ సమాచారాన్ని సేకరించడానికి విస్తృత శ్రేణి పరికరాలలో దీన్ని ప్రభావితం చేస్తుంది.

వారు ఈ రాజీ ఆధారాలను పొందిన తర్వాత, బెదిరింపు నటుడు వాటిని అదనపు పరికరాల్లోకి చొరబడి మరిన్ని ఆధారాలను సేకరించేందుకు ఉపయోగించారు. ఈ ప్రక్రియలో, వారు కీపాస్ రహస్యాలను తిరిగి పొందడానికి సున్నితమైన ఫైల్‌లను యాక్సెస్ చేశారు మరియు లక్ష్య ఖాతాల కోసం ఆధారాలను పొందేందుకు బ్రూట్-ఫోర్స్ దాడులను అమలు చేశారు.

లాటరల్ మూవ్‌మెంట్ మరియు డేటా ఎక్స్‌ఫిల్ట్రేషన్

పరిశోధకులు Storm-0501 నెట్‌వర్క్‌లో పార్శ్వ కదలిక కోసం కోబాల్ట్ స్ట్రైక్‌ను ఉపయోగించడాన్ని గమనించారు, ఫాలో-ఆన్ ఆదేశాలను అమలు చేయడానికి దొంగిలించబడిన ఆధారాలను ఉపయోగించారు. ఆన్-ప్రాంగణ పర్యావరణం నుండి డేటా వెలికితీత కోసం, వారు MegaSync పబ్లిక్ క్లౌడ్ స్టోరేజ్ సేవకు సున్నితమైన డేటాను బదిలీ చేయడానికి Rcloneని ఉపయోగించారు.

ఇంకా, క్లౌడ్ ఎన్విరాన్‌మెంట్‌లకు నిరంతర బ్యాక్‌డోర్ యాక్సెస్‌ను ఏర్పాటు చేయడం మరియు ఆన్-ప్రాంగణ సిస్టమ్‌లలో ransomwareని అమలు చేయడం కోసం ముప్పు నటుడు గుర్తించబడ్డాడు. ఇది ఆక్టో టెంపెస్ట్ మరియు మనేటీ టెంపెస్ట్ వంటి సమూహాల అడుగుజాడలను అనుసరించి, హైబ్రిడ్ క్లౌడ్ సెటప్‌లపై దృష్టి సారించే తాజా ముప్పు నటుడుగా గుర్తించబడింది.

క్లౌడ్‌ను లక్ష్యంగా చేసుకోవడం

బెదిరింపు నటుడు సేకరించిన ఆధారాలను, ముఖ్యంగా మైక్రోసాఫ్ట్ ఎంట్రా ID (గతంలో అజూర్ AD) నుండి, ఆన్-ప్రాంగణ సిస్టమ్‌ల నుండి క్లౌడ్ ఎన్విరాన్‌మెంట్‌లకు పార్శ్వ కదలికను సులభతరం చేయడానికి, లక్ష్య నెట్‌వర్క్‌కు కొనసాగుతున్న యాక్సెస్ కోసం నిరంతర బ్యాక్‌డోర్‌ను ఏర్పాటు చేశాడు.

క్లౌడ్‌కి ఈ పరివర్తన సాధారణంగా రాజీపడిన Microsoft Entra Connect సమకాలీకరణ వినియోగదారు ఖాతా ద్వారా లేదా క్లౌడ్‌లో నిర్వాహక ఖాతాను కలిగి ఉన్న ఆన్-ప్రాంగణ వినియోగదారు ఖాతా యొక్క సెషన్‌ను హైజాక్ చేయడం ద్వారా సాధించబడుతుంది, ప్రత్యేకించి బహుళ-కారకాల ప్రమాణీకరణ (MFA) నిలిపివేయబడినట్లయితే. .

Embargo Ransomware యొక్క విస్తరణ

బెదిరింపు నటుడు నెట్‌వర్క్‌పై తగినంత నియంత్రణను సాధించి, ఆసక్తి ఉన్న ఫైల్‌లను విజయవంతంగా వెలికితీసిన తర్వాత బాధిత సంస్థ అంతటా Embargo ransomware విస్తరణతో దాడి ముగుస్తుంది. ఎంబార్గో, రస్ట్-ఆధారిత ransomware వేరియంట్, మొదట మే 2024లో గుర్తించబడింది.

Ransomware-as-a-Service (RaaS) మోడల్‌లో పనిచేస్తోంది, విమోచనలో కొంత శాతానికి బదులుగా దాడులను ప్రారంభించడానికి దాని ప్లాట్‌ఫారమ్‌ను ఉపయోగించుకోవడానికి, Storm-0501 వంటి అనుబంధ సంస్థలను ఎంబార్గో వెనుక ఉన్న సమూహం అనుమతిస్తుంది. ఆంక్షల అనుబంధ సంస్థలు రెట్టింపు దోపిడీ వ్యూహాలను ఉపయోగిస్తాయి, బాధితుడి ఫైల్‌లను ఎన్‌క్రిప్ట్ చేస్తాయి, అదే సమయంలో విమోచన క్రయధనం చెల్లించకపోతే సున్నితమైన సేకరించిన డేటాను విడుదల చేస్తామని బెదిరిస్తుంది.