Storm-0501 Threat Actor
Ang grupong cybercriminal na kilala bilang Storm-0501 ay partikular na nakatuon sa mga sektor gaya ng gobyerno, pagmamanupaktura, transportasyon, at pagpapatupad ng batas sa loob ng Estados Unidos upang maisagawa ang kanilang mga pag-atake sa ransomware. Nilalayon ng kanilang multi-stage na campaign na makalusot sa mga hybrid na cloud environment, na nagpapadali sa pag-ilid na paggalaw mula sa mga on-premises system patungo sa mga cloud infrastructure. Ang diskarteng ito sa huli ay humahantong sa iba't ibang malisyosong resulta, kabilang ang data exfiltration, pagnanakaw ng kredensyal, pakikialam, patuloy na pag-access sa backdoor at ang pag-deploy ng ransomware.
Talaan ng mga Nilalaman
Ang Ebolusyon ng Bagyo-0501
Gumagana ang Storm-0501 na may mga motibasyon sa pananalapi sa ubod ng mga aktibidad nito, na gumagamit ng parehong komersyal at open-source na mga tool upang maisagawa ang mga operasyon ng ransomware nito. Aktibo mula noong 2021, unang tina-target ng grupong ito ang mga institusyong pang-edukasyon gamit ang Sabbath (54bb47h) Ransomware. Sa paglipas ng panahon, lumipat sila sa isang modelong Ransomware-as-a-Service (RaaS), na nagbibigay ng hanay ng mga payload ng ransomware. Kasama na ngayon sa kanilang repertoire ang iba't ibang kilalang mga strain gaya ng Hive, BlackCat (ALPHV), Hunters International , LockBit, at ang Embargo Ransomware .
Mga Vector ng Paunang Pag-atake na Ginamit ng Storm-0501
Ang isang makabuluhang katangian ng mga operasyon ng Storm-0501 ay ang kanilang pagsasamantala sa mga mahihinang kredensyal at mga account na sobrang privilege, na nagbibigay-daan sa kanila na lumipat mula sa mga system sa nasasakupan ng isang organisasyon patungo sa mga imprastraktura ng ulap nang walang putol.
Bukod pa rito, gumagamit sila ng iba't ibang paraan ng paunang pag-access, tulad ng paggamit ng mga foothold na itinatag ng mga access broker tulad ng Storm-0249 at Storm-0900. Tina-target din nila ang mga hindi naka-patch na server na nakaharap sa internet, sinasamantala ang mga kilalang kahinaan sa pagpapatupad ng remote code sa mga platform tulad ng Zoho ManageEngine, Citrix NetScaler at Adobe ColdFusion 2016.
Sa pamamagitan ng paggamit ng alinman sa mga pamamaraang ito, nagkakaroon ng pagkakataon ang Storm-0501 na magsagawa ng malawak na pagmamanman, na nagpapahintulot sa kanila na matukoy ang mga asset na may mataas na halaga, mangolekta ng impormasyon ng domain, at magsagawa ng mga pagsisiyasat sa Active Directory. Ang yugtong ito ay karaniwang sinusundan ng pag-install ng mga remote monitoring and management tool (RMMs) upang matiyak ang patuloy na pag-access at pagtitiyaga.
Pagsasamantala sa mga Pribilehiyo ng Storm-0501
Ang aktor ng banta ay nag-capitalize sa mga pribilehiyong pang-administratibo na nakuha mula sa mga nakompromisong lokal na device sa panahon ng paunang yugto ng pag-access, na sinusubukang palawakin ang kanilang abot sa loob ng network sa pamamagitan ng iba't ibang pamamaraan. Pangunahin, ginamit nila ang module ng SecretsDump ng Impacket, na nagpapadali sa pagkuha ng mga kredensyal sa network, na ginagamit ito sa malawak na hanay ng mga device upang mangalap ng mahalagang impormasyon sa pag-log in.
Sa sandaling nakuha nila ang mga nakompromisong kredensyal na ito, ginamit sila ng aktor ng banta para makalusot ng mga karagdagang device at kumuha ng higit pang mga kredensyal. Sa prosesong ito, nag-access sila ng mga sensitibong file para kunin ang mga lihim ng KeePass at nagsagawa ng mga brute-force na pag-atake upang makakuha ng mga kredensyal para sa mga naka-target na account.
Lateral Movement at Data Exfiltration
Naobserbahan ng mga mananaliksik ang Storm-0501 na gumagamit ng Cobalt Strike para sa lateral na paggalaw sa loob ng network, gamit ang mga ninakaw na kredensyal upang maisagawa ang mga follow-on na utos. Para sa pag-exfiltration ng data mula sa nasa nasasakupan na kapaligiran, ginamit nila ang Rclone upang maglipat ng sensitibong data sa serbisyo ng pampublikong cloud storage ng MegaSync.
Higit pa rito, ang banta ng aktor ay kilala para sa pagtatatag ng patuloy na pag-access sa backdoor sa mga cloud environment at pag-deploy ng ransomware sa mga system na nasa lugar. Ito ay nagmamarka sa kanila bilang pinakabagong banta na aktor na tumuon sa mga hybrid cloud setup, na sumusunod sa mga yapak ng mga grupo tulad ng Octo Tempest at Manatee Tempest.
Pag-target sa Cloud
Ginamit ng threat actor ang mga na-harvest na kredensyal, lalo na ang mga mula sa Microsoft Entra ID (dating Azure AD), para mapadali ang pag-ilid na paggalaw mula sa mga nasa-sakupang sistema patungo sa mga cloud environment, na nagtatag ng patuloy na backdoor para sa patuloy na pag-access sa target na network.
Ang paglipat na ito sa cloud ay karaniwang nakakamit alinman sa pamamagitan ng isang nakompromisong Microsoft Entra Connect Sync user account o sa pamamagitan ng pag-hijack sa session ng isang on-premises na user account na nagtataglay ng admin account sa cloud, lalo na kung ang multi-factor authentication (MFA) ay hindi pinagana. .
Pag-deploy ng Embargo Ransomware
Ang pag-atake ay nagtatapos sa pag-deploy ng Embargo ransomware sa buong organisasyon ng biktima kapag ang aktor ng banta ay nakakuha ng sapat na kontrol sa network at matagumpay na na-exfiltrate ang mga file ng interes. Ang Embargo, isang variant ng Rust-based ransomware, ay unang natukoy noong Mayo 2024.
Gumagana sa ilalim ng modelong Ransomware-as-a-Service (RaaS), pinahihintulutan ng grupo sa likod ng Embargo ang mga affiliate tulad ng Storm-0501 na gamitin ang platform nito para sa paglulunsad ng mga pag-atake kapalit ng isang porsyento ng ransom. Gumagamit ang mga embargo affiliate ng dobleng taktika sa pangingikil, na nag-e-encrypt ng mga file ng biktima habang sabay-sabay na nagbabantang maglalabas ng sensitibong na-harvest na data maliban kung binayaran ang ransom.
