Storm-0501 Threat Actor
Група кіберзлочинців, відома як Storm-0501, спеціально зосередилася на таких секторах, як уряд, виробництво, транспорт і правоохоронні органи в Сполучених Штатах для здійснення своїх атак програм-вимагачів. Їхня багатоетапна кампанія спрямована на проникнення в гібридні хмарні середовища, сприяючи боковому переходу від локальних систем до хмарних інфраструктур. Ця стратегія в кінцевому підсумку призводить до різних зловмисних результатів, включаючи викрадання даних, викрадення облікових даних, підробку, постійний бекдор-доступ і розгортання програм-вимагачів.
Зміст
Еволюція Storm-0501
Storm-0501 працює з фінансовими мотивами в основі своєї діяльності, використовуючи як комерційні інструменти, так і інструменти з відкритим кодом для здійснення своїх операцій з програмами-вимагачами. Діючи з 2021 року, ця група спочатку націлилася на навчальні заклади, використовуючи програмне забезпечення-вимагач Sabbath (54bb47h). З часом вони перейшли на модель Ransomware-as-a-Service (RaaS), забезпечуючи низку програм-вимагачів. Їхній репертуар тепер включає різні сумнозвісні штами, такі як Hive, BlackCat (ALPHV), Hunters International , LockBit і Embargo Ransomware .
Початкові вектори атаки, які використовує Storm-0501
Однією з важливих характеристик операцій Storm-0501 є використання слабких облікових даних і облікових записів із надмірними привілейованими правами, що дає їм змогу легко переходити від локальних систем організації до хмарних інфраструктур.
Крім того, вони використовують різні початкові методи доступу, такі як опори, встановлені брокерами доступу, такими як Storm-0249 і Storm-0900. Вони також націлені на невиправлені сервери, що виходять в Інтернет, використовуючи відомі вразливості віддаленого виконання коду на таких платформах, як Zoho ManageEngine, Citrix NetScaler і Adobe ColdFusion 2016.
Використовуючи будь-який із цих методів, Storm-0501 отримує можливість проводити масштабну розвідку, дозволяючи ідентифікувати активи високої вартості, збирати інформацію про домен і виконувати дослідження Active Directory. Цей етап зазвичай супроводжується встановленням інструментів віддаленого моніторингу та керування (RMM), щоб забезпечити безперервний доступ і постійність.
Використання привілеїв Штурмом-0501
Зловмисник скористався адміністративними привілеями, отриманими від скомпрометованих локальних пристроїв під час початкової фази доступу, намагаючись розширити свій охоплення в мережі різними методами. Насамперед вони використовували модуль SecretsDump від Impacket, який полегшує вилучення облікових даних через мережу, використовуючи його на багатьох пристроях для збору цінної інформації для входу.
Отримавши ці скомпрометовані облікові дані, зловмисник використовував їх для проникнення на додаткові пристрої та отримання нових облікових даних. Під час цього процесу вони отримали доступ до конфіденційних файлів, щоб отримати секрети KeePass, і виконали атаки грубої сили, щоб отримати облікові дані для цільових облікових записів.
Бічний рух і вилучення даних
Дослідники спостерігали, як Storm-0501 використовує Cobalt Strike для бокового переміщення в мережі, використовуючи вкрадені облікові дані для виконання наступних команд. Для вилучення даних із локального середовища вони використали Rclone для передачі конфіденційних даних у загальнодоступну хмарну службу зберігання MegaSync.
Крім того, загрозливий суб’єкт був відомий тим, що встановлював постійний бекдор-доступ до хмарних середовищ і розгортав програми-вимагачі на локальних системах. Це відзначає їх як останнього актора загрози, який зосередився на гібридних хмарних установках, йдучи по стопах таких груп, як Octo Tempest і Manatee Tempest.
Орієнтація на хмару
Зловмисник використовував зібрані облікові дані, зокрема дані з Microsoft Entra ID (раніше Azure AD), щоб полегшити перехід від локальних систем до хмарних середовищ, створивши постійний бекдор для постійного доступу до цільової мережі.
Цей перехід до хмари зазвичай досягається через скомпрометований обліковий запис користувача Microsoft Entra Connect Sync або шляхом викрадення сеансу локального облікового запису користувача, який має обліковий запис адміністратора в хмарі, особливо якщо багатофакторну автентифікацію (MFA) вимкнено. .
Розгортання програми-вимагача Embargo
Кульмінацією атаки є розгортання програми-вимагача Embargo у всій організації-жертві, щойно зловмисник забезпечить достатній контроль над мережею та успішно викраде цікаві файли. Embargo, варіант програм-вимагачів на основі Rust, був вперше виявлений у травні 2024 року.
Працюючи за моделлю Ransomware-as-a-Service (RaaS), група, що стоїть за Embargo, дозволяє своїм філіям, таким як Storm-0501, використовувати свою платформу для здійснення атак в обмін на відсоток від викупу. Філіали ембарго використовують подвійну тактику вимагання, шифруючи файли жертви, одночасно погрожуючи оприлюднити конфіденційні зібрані дані, якщо викуп не буде сплачено.
