Storm-0501 Diễn viên đe dọa
Nhóm tội phạm mạng được gọi là Storm-0501 đã tập trung cụ thể vào các lĩnh vực như chính phủ, sản xuất, giao thông vận tải và thực thi pháp luật tại Hoa Kỳ để thực hiện các cuộc tấn công ransomware của họ. Chiến dịch nhiều giai đoạn của họ nhằm mục đích xâm nhập vào các môi trường đám mây lai, tạo điều kiện cho việc di chuyển ngang từ các hệ thống tại chỗ sang cơ sở hạ tầng đám mây. Chiến lược này cuối cùng dẫn đến nhiều kết quả độc hại khác nhau, bao gồm rò rỉ dữ liệu, đánh cắp thông tin xác thực, giả mạo, truy cập cửa sau liên tục và triển khai ransomware.
Mục lục
Sự tiến hóa của Storm-0501
Storm-0501 hoạt động với động cơ tài chính là cốt lõi trong các hoạt động của mình, sử dụng cả các công cụ thương mại và mã nguồn mở để thực hiện các hoạt động ransomware của mình. Hoạt động từ năm 2021, nhóm này ban đầu nhắm mục tiêu vào các tổ chức giáo dục bằng cách sử dụng Sabbath (54bb47h) Ransomware. Theo thời gian, chúng đã chuyển sang mô hình Ransomware-as-a-Service (RaaS), cung cấp một loạt các tải trọng ransomware. Danh mục của chúng hiện bao gồm nhiều chủng khét tiếng như Hive, BlackCat (ALPHV), Hunters International , LockBit và Embargo Ransomware .
Các vectơ tấn công ban đầu được sử dụng bởi Storm-0501
Một đặc điểm quan trọng trong hoạt động của Storm-0501 là khai thác thông tin xác thực yếu và tài khoản có đặc quyền quá cao, cho phép chúng chuyển đổi liền mạch từ hệ thống tại chỗ của tổ chức sang cơ sở hạ tầng đám mây.
Ngoài ra, chúng còn sử dụng nhiều phương pháp truy cập ban đầu khác nhau, chẳng hạn như tận dụng các điểm dừng chân được thiết lập bởi các nhà môi giới truy cập như Storm-0249 và Storm-0900. Chúng cũng nhắm mục tiêu vào các máy chủ hướng ra internet chưa được vá, khai thác các lỗ hổng thực thi mã từ xa đã biết trong các nền tảng như Zoho ManageEngine, Citrix NetScaler và Adobe ColdFusion 2016.
Bằng cách sử dụng bất kỳ phương pháp nào trong số các phương pháp này, Storm-0501 có cơ hội tiến hành trinh sát mở rộng, cho phép chúng xác định các tài sản có giá trị cao, thu thập thông tin miền và thực hiện các cuộc điều tra Active Directory. Giai đoạn này thường được theo sau bởi việc cài đặt các công cụ giám sát và quản lý từ xa (RMM) để đảm bảo quyền truy cập và tính liên tục.
Khai thác đặc quyền của Storm-0501
Kẻ tấn công đã lợi dụng các đặc quyền quản trị có được từ các thiết bị cục bộ bị xâm phạm trong giai đoạn truy cập ban đầu, cố gắng mở rộng phạm vi tiếp cận của chúng trong mạng thông qua nhiều phương pháp khác nhau. Chủ yếu, chúng sử dụng mô-đun SecretsDump của Impacket, mô-đun này tạo điều kiện thuận lợi cho việc trích xuất thông tin xác thực qua mạng, tận dụng nó trên nhiều thiết bị để thu thập thông tin đăng nhập có giá trị.
Sau khi có được những thông tin đăng nhập bị xâm phạm này, kẻ tấn công đã sử dụng chúng để xâm nhập vào các thiết bị khác và trích xuất thêm thông tin đăng nhập. Trong quá trình này, chúng đã truy cập vào các tệp nhạy cảm để lấy bí mật KeePass và thực hiện các cuộc tấn công brute-force để lấy thông tin đăng nhập cho các tài khoản mục tiêu.
Chuyển động ngang và rò rỉ dữ liệu
Các nhà nghiên cứu đã quan sát Storm-0501 sử dụng Cobalt Strike để di chuyển ngang trong mạng, sử dụng thông tin đăng nhập bị đánh cắp để thực hiện các lệnh tiếp theo. Để trích xuất dữ liệu từ môi trường tại chỗ, họ đã sử dụng Rclone để chuyển dữ liệu nhạy cảm sang dịch vụ lưu trữ đám mây công cộng MegaSync.
Hơn nữa, tác nhân đe dọa đã được ghi nhận vì thiết lập quyền truy cập cửa sau liên tục vào môi trường đám mây và triển khai phần mềm tống tiền trên các hệ thống tại chỗ. Điều này đánh dấu chúng là tác nhân đe dọa mới nhất tập trung vào các thiết lập đám mây lai, theo bước chân của các nhóm như Octo Tempest và Manatee Tempest.
Nhắm mục tiêu vào Đám mây
Kẻ tấn công đã lợi dụng thông tin đăng nhập thu thập được, đặc biệt là thông tin từ Microsoft Entra ID (trước đây là Azure AD), để tạo điều kiện di chuyển ngang từ hệ thống tại chỗ sang môi trường đám mây, thiết lập một cửa hậu liên tục để truy cập liên tục vào mạng mục tiêu.
Quá trình chuyển đổi sang đám mây này thường được thực hiện thông qua tài khoản người dùng Microsoft Entra Connect Sync bị xâm phạm hoặc bằng cách chiếm đoạt phiên của tài khoản người dùng tại chỗ sở hữu tài khoản quản trị viên trên đám mây, đặc biệt là nếu xác thực đa yếu tố (MFA) bị tắt.
Triển khai Ransomware Embargo
Cuộc tấn công lên đến đỉnh điểm khi phần mềm tống tiền Embargo được triển khai trên toàn bộ tổ chức nạn nhân sau khi kẻ tấn công đã đảm bảo được quyền kiểm soát đủ lớn đối với mạng và thành công trong việc đánh cắp các tệp quan trọng. Embargo, một biến thể phần mềm tống tiền dựa trên Rust, lần đầu tiên được xác định vào tháng 5 năm 2024.
Hoạt động theo mô hình Ransomware-as-a-Service (RaaS), nhóm đứng sau Embargo cho phép các chi nhánh như Storm-0501 sử dụng nền tảng của mình để phát động các cuộc tấn công để đổi lấy một phần trăm tiền chuộc. Các chi nhánh của Embargo sử dụng chiến thuật tống tiền kép, mã hóa các tệp của nạn nhân đồng thời đe dọa sẽ tiết lộ dữ liệu nhạy cảm đã thu thập được trừ khi tiền chuộc được trả.
