Storm-0501 Tehdit Aktörü
Storm-0501 olarak bilinen siber suçlu grubu, fidye yazılımı saldırılarını gerçekleştirmek için özellikle ABD'deki hükümet, üretim, ulaştırma ve kolluk kuvvetleri gibi sektörlere odaklanmıştır. Çok aşamalı kampanyaları, hibrit bulut ortamlarına sızmayı ve şirket içi sistemlerden bulut altyapılarına yatay hareketi kolaylaştırmayı amaçlamaktadır. Bu strateji, nihayetinde veri sızdırma, kimlik bilgisi hırsızlığı, kurcalama, sürekli arka kapı erişimi ve fidye yazılımı dağıtımı gibi çeşitli kötü amaçlı sonuçlara yol açar.
İçindekiler
Storm-0501'in Evrimi
Storm-0501, faaliyetlerinin merkezinde finansal motivasyonlarla faaliyet gösterir ve fidye yazılımı operasyonlarını yürütmek için hem ticari hem de açık kaynaklı araçlar kullanır. 2021'den beri faaliyet gösteren bu grup, başlangıçta Sabbath (54bb47h) Fidye Yazılımını kullanarak eğitim kurumlarını hedef aldı. Zamanla, bir dizi fidye yazılımı yükü sağlayan bir Fidye Yazılımı Hizmeti (RaaS) modeline geçtiler. Repertuarlarında artık Hive, BlackCat (ALPHV), Hunters International , LockBit ve Embargo Fidye Yazılımı gibi çeşitli kötü şöhretli türler yer alıyor.
Storm-0501 Tarafından Kullanılan İlk Saldırı Vektörleri
Storm-0501'in operasyonlarının önemli bir özelliği, zayıf kimlik bilgilerini ve aşırı ayrıcalıklı hesapları istismar etmesidir; bu sayede bir kuruluşun şirket içi sistemlerinden bulut altyapılarına sorunsuz bir şekilde geçiş yapma olanağı sağlar.
Ek olarak, Storm-0249 ve Storm-0900 gibi erişim aracıları tarafından kurulan dayanak noktalarından yararlanma gibi çeşitli ilk erişim yöntemleri kullanırlar. Ayrıca, Zoho ManageEngine, Citrix NetScaler ve Adobe ColdFusion 2016 gibi platformlardaki bilinen uzaktan kod yürütme güvenlik açıklarından yararlanarak, yama uygulanmamış internete bakan sunucuları hedeflerler.
Storm-0501, bu yöntemlerden herhangi birini kullanarak kapsamlı keşif yapma fırsatı elde eder ve bu da yüksek değerli varlıkları belirlemelerine, etki alanı bilgilerini toplamalarına ve Active Directory araştırmaları yapmalarına olanak tanır. Bu aşamayı genellikle devam eden erişim ve kalıcılığı sağlamak için uzaktan izleme ve yönetim araçlarının (RMM'ler) kurulumu izler.
Storm-0501 Tarafından Ayrıcalıkların Sömürülmesi
Tehdit aktörü, ilk erişim aşamasında tehlikeye atılmış yerel cihazlardan elde edilen yönetim ayrıcalıklarından yararlanarak çeşitli yöntemlerle ağ içindeki etki alanını genişletmeye çalıştı. Öncelikle, ağ üzerinden kimlik bilgilerinin çıkarılmasını kolaylaştıran Impacket'in SecretsDump modülünü kullandılar ve bunu çok çeşitli cihazlarda kullanarak değerli oturum açma bilgilerini topladılar.
Bu tehlikeye atılmış kimlik bilgilerini edindikten sonra, tehdit aktörü bunları ek cihazlara sızmak ve daha fazla kimlik bilgisi çıkarmak için kullandı. Bu işlem sırasında, KeePass sırlarını almak için hassas dosyalara eriştiler ve hedeflenen hesaplar için kimlik bilgilerini elde etmek için kaba kuvvet saldırıları gerçekleştirdiler.
Yanal Hareket ve Veri Sızdırma
Araştırmacılar, Storm-0501'in ağ içinde yanal hareket için Cobalt Strike'ı kullandığını, çalınan kimlik bilgilerini takip eden komutları yürütmek için kullandığını gözlemlediler. Şirket içi ortamdan veri sızdırmak için, hassas verileri MegaSync genel bulut depolama hizmetine aktarmak için Rclone'u kullandılar.
Ayrıca, tehdit aktörü bulut ortamlarına kalıcı arka kapı erişimi kurması ve şirket içi sistemlere fidye yazılımı dağıtmasıyla dikkat çekmiştir. Bu, onları Octo Tempest ve Manatee Tempest gibi grupların izinden giderek hibrit bulut kurulumlarına odaklanan en son tehdit aktörü olarak işaretlemektedir.
Bulutu Hedefleme
Tehdit aktörü, özellikle Microsoft Entra ID'den (eski adıyla Azure AD) toplanan kimlik bilgilerini, şirket içi sistemlerden bulut ortamlarına yatay geçişi kolaylaştırmak için kullanarak hedef ağa sürekli erişim için kalıcı bir arka kapı oluşturdu.
Buluta geçiş genellikle ya tehlikeye atılmış bir Microsoft Entra Connect Sync kullanıcı hesabı aracılığıyla ya da bulutta bir yönetici hesabına sahip şirket içi bir kullanıcı hesabının oturumunun ele geçirilmesiyle gerçekleştirilir, özellikle de çok faktörlü kimlik doğrulama (MFA) devre dışıysa.
Embargo Fidye Yazılımının Dağıtımı
Saldırı, tehdit aktörü ağ üzerinde yeterli kontrolü sağladıktan ve ilgi duyulan dosyaları başarıyla sızdırdıktan sonra, kurban kuruluş genelinde Embargo fidye yazılımının konuşlandırılmasıyla sonuçlanır. Rust tabanlı bir fidye yazılımı çeşidi olan Embargo, ilk olarak Mayıs 2024'te tespit edildi.
Embargo'nun arkasındaki grup, bir Ransomware-as-a-Service (RaaS) modeli altında faaliyet göstererek, Storm-0501 gibi iştiraklerin fidye karşılığında saldırılar başlatmak için platformunu kullanmasına izin veriyor. Embargo iştirakleri, bir kurbanın dosyalarını şifrelerken aynı anda fidye ödenmediği takdirde hassas hasat edilmiş verileri ifşa etmekle tehdit ederek çift gasp taktikleri kullanıyor.
