Storm-0501 ผู้คุกคาม

กลุ่มอาชญากรไซเบอร์ที่รู้จักกันในชื่อ Storm-0501 มุ่งเน้นเฉพาะภาคส่วนต่างๆ เช่น รัฐบาล การผลิต การขนส่ง และการบังคับใช้กฎหมายในสหรัฐอเมริกา เพื่อดำเนินการโจมตีด้วยแรนซัมแวร์ แคมเปญหลายขั้นตอนของพวกเขามีเป้าหมายเพื่อแทรกซึมเข้าไปในสภาพแวดล้อมคลาวด์ไฮบริด อำนวยความสะดวกในการเคลื่อนที่จากระบบภายในองค์กรไปยังโครงสร้างพื้นฐานคลาวด์ กลยุทธ์นี้ส่งผลให้เกิดผลลัพธ์ที่เป็นอันตรายต่างๆ มากมาย รวมถึงการขโมยข้อมูล การขโมยข้อมูลประจำตัว การดัดแปลง การเข้าถึงแบ็คดอร์อย่างต่อเนื่อง และการใช้แรนซัมแวร์

วิวัฒนาการของพายุ-0501

Storm-0501 ดำเนินงานโดยมีแรงจูงใจทางการเงินเป็นแกนหลักในการดำเนินกิจกรรมโดยใช้ทั้งเครื่องมือเชิงพาณิชย์และโอเพ่นซอร์สเพื่อดำเนินการกับแรนซัมแวร์ กลุ่มนี้ดำเนินการมาตั้งแต่ปี 2021 โดยเริ่มแรกกำหนดเป้าหมายสถาบันการศึกษาที่ใช้แรนซัมแวร์ Sabbath (54bb47h) เมื่อเวลาผ่านไป พวกเขาได้เปลี่ยนไปใช้โมเดล Ransomware-as-a-Service (RaaS) ซึ่งมีเพย์โหลดแรนซัมแวร์มากมาย ปัจจุบันมีสายพันธุ์ที่โด่งดังต่างๆ เช่น Hive, BlackCat (ALPHV), Hunters International , LockBit และ Embargo Ransomware

เวกเตอร์การโจมตีเริ่มต้นที่ใช้โดย Storm-0501

ลักษณะเฉพาะที่สำคัญอย่างหนึ่งในการดำเนินงานของ Storm-0501 คือการใช้ประโยชน์จากข้อมูลประจำตัวที่อ่อนแอและบัญชีที่มีสิทธิพิเศษเกินควร ซึ่งช่วยให้สามารถเปลี่ยนผ่านจากระบบภายในองค์กรไปยังโครงสร้างพื้นฐานบนคลาวด์ได้อย่างราบรื่น

นอกจากนี้ พวกเขายังใช้แนวทางการเข้าถึงเบื้องต้นที่หลากหลาย เช่น การใช้ประโยชน์จากจุดยืนที่สร้างขึ้นโดยโบรกเกอร์การเข้าถึง เช่น Storm-0249 และ Storm-0900 พวกเขายังกำหนดเป้าหมายไปที่เซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ตที่ไม่ได้รับการแก้ไข โดยใช้ประโยชน์จากช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ทราบแล้วในแพลตฟอร์มต่างๆ เช่น Zoho ManageEngine, Citrix NetScaler และ Adobe ColdFusion 2016

การใช้หนึ่งในวิธีการเหล่านี้ Storm-0501 จะสามารถดำเนินการลาดตระเวนอย่างละเอียดถี่ถ้วน ทำให้สามารถระบุทรัพย์สินที่มีมูลค่าสูง รวบรวมข้อมูลโดเมน และดำเนินการตรวจสอบ Active Directory โดยทั่วไป ขั้นตอนนี้จะตามมาด้วยการติดตั้งเครื่องมือตรวจสอบและจัดการระยะไกล (RMM) เพื่อให้แน่ใจว่าสามารถเข้าถึงและคงอยู่ได้อย่างต่อเนื่อง

การใช้ประโยชน์จากสิทธิพิเศษโดย Storm-0501

ผู้ก่อภัยคุกคามใช้ประโยชน์จากสิทธิ์การดูแลระบบที่ได้รับจากอุปกรณ์ภายในเครื่องที่ถูกบุกรุกในช่วงการเข้าถึงเริ่มต้น โดยพยายามขยายขอบเขตภายในเครือข่ายโดยใช้วิธีต่างๆ เป็นหลัก พวกเขาใช้โมดูล SecretsDump ของ Impacket ซึ่งช่วยให้ดึงข้อมูลรับรองผ่านเครือข่ายได้ง่ายขึ้น และใช้ประโยชน์จากโมดูลนี้ในอุปกรณ์ต่างๆ เพื่อรวบรวมข้อมูลการเข้าสู่ระบบที่มีค่า

เมื่อพวกเขาได้รับข้อมูลประจำตัวที่ถูกบุกรุกเหล่านี้ ผู้คุกคามจะใช้ข้อมูลเหล่านี้เพื่อแทรกซึมเข้าไปในอุปกรณ์เพิ่มเติมและดึงข้อมูลประจำตัวเพิ่มเติมออกมา ในระหว่างกระบวนการนี้ พวกเขาเข้าถึงไฟล์ที่ละเอียดอ่อนเพื่อดึงความลับของ KeePass และดำเนินการโจมตีแบบบรูทฟอร์ซเพื่อรับข้อมูลประจำตัวสำหรับบัญชีเป้าหมาย

การเคลื่อนที่ด้านข้างและการสกัดข้อมูล

นักวิจัยได้สังเกตเห็นว่า Storm-0501 ใช้ Cobalt Strike สำหรับการเคลื่อนที่ในแนวขวางภายในเครือข่าย โดยใช้ข้อมูลประจำตัวที่ขโมยมาเพื่อดำเนินการคำสั่งติดตาม สำหรับการขโมยข้อมูลจากสภาพแวดล้อมภายในองค์กร พวกเขาใช้ Rclone เพื่อถ่ายโอนข้อมูลที่ละเอียดอ่อนไปยังบริการจัดเก็บข้อมูลบนคลาวด์สาธารณะ MegaSync

นอกจากนี้ ผู้ก่อภัยคุกคามยังถูกกล่าวถึงว่าเป็นผู้ที่สร้างช่องทางเข้าแบบแบ็คดอร์อย่างต่อเนื่องไปยังสภาพแวดล้อมคลาวด์และนำแรนซัมแวร์ไปใช้งานบนระบบภายในองค์กร ซึ่งถือเป็นผู้ก่อภัยคุกคามรายล่าสุดที่มุ่งเน้นไปที่การตั้งค่าคลาวด์ไฮบริด โดยเดินตามรอยกลุ่มต่างๆ เช่น Octo Tempest และ Manatee Tempest

การกำหนดเป้าหมายไปที่คลาวด์

ผู้ก่อให้เกิดภัยคุกคามใช้ประโยชน์จากข้อมูลประจำตัวที่เก็บรวบรวมไว้ โดยเฉพาะจาก Microsoft Entra ID (เดิมคือ Azure AD) เพื่ออำนวยความสะดวกในการเคลื่อนย้ายจากระบบภายในองค์กรไปยังสภาพแวดล้อมคลาวด์ โดยสร้างแบ็คดอร์ถาวรสำหรับการเข้าถึงเครือข่ายเป้าหมายอย่างต่อเนื่อง

การเปลี่ยนแปลงไปใช้ระบบคลาวด์นี้มักจะทำได้โดยผ่านบัญชีผู้ใช้ Microsoft Entra Connect Sync ที่ถูกบุกรุกหรือโดยการยึดเซสชันของบัญชีผู้ใช้ภายในองค์กรที่มีบัญชีผู้ดูแลระบบในระบบคลาวด์ โดยเฉพาะอย่างยิ่งหากปิดใช้งานการตรวจสอบปัจจัยหลายประการ (MFA)

การใช้งาน Embargo Ransomware

การโจมตีสิ้นสุดลงด้วยการใช้แรนซัมแวร์ Embargo ทั่วทั้งองค์กรของเหยื่อ เมื่อผู้ก่อภัยคุกคามสามารถควบคุมเครือข่ายได้เพียงพอและขโมยไฟล์ที่ต้องการได้สำเร็จ Embargo ซึ่งเป็นแรนซัมแวร์ที่ดัดแปลงมาจาก Rust ถูกระบุตัวตนครั้งแรกในเดือนพฤษภาคม 2024

กลุ่มที่อยู่เบื้องหลัง Embargo ดำเนินการภายใต้รูปแบบ Ransomware-as-a-Service (RaaS) โดยอนุญาตให้บริษัทในเครือ เช่น Storm-0501 ใช้แพลตฟอร์มของตนในการโจมตีเพื่อแลกกับค่าไถ่เป็นเปอร์เซ็นต์หนึ่ง บริษัทในเครือ Embargo ใช้กลวิธีรีดไถสองต่อ คือ เข้ารหัสไฟล์ของเหยื่อพร้อมขู่ว่าจะเปิดเผยข้อมูลลับที่รวบรวมมา เว้นแต่จะจ่ายค่าไถ่