Storm-0501 威胁行为者
名为 Storm-0501 的网络犯罪团伙专门针对美国境内的政府、制造业、交通运输和执法部门等部门实施勒索软件攻击。他们的多阶段活动旨在渗透混合云环境,促进从本地系统到云基础设施的横向移动。这一策略最终会导致各种恶意后果,包括数据泄露、凭证窃取、篡改、持续后门访问和勒索软件部署。
目录
Storm-0501的进化
Storm-0501 以经济动机为核心,利用商业和开源工具执行勒索软件操作。该组织自 2021 年以来一直活跃,最初使用 Sabbath (54bb47h) 勒索软件针对教育机构。随着时间的推移,他们已经转变为勒索软件即服务 (RaaS) 模式,提供一系列勒索软件负载。他们的曲目现在包括各种臭名昭著的菌株,例如 Hive、 BlackCat (ALPHV)、 Hunters International 、 LockBit和Embargo Ransomware 。
Storm-0501 使用的初始攻击媒介
Storm-0501 运营的一个重要特点是利用弱凭证和过度特权的账户,这使得他们能够从组织的内部部署系统无缝过渡到云基础设施。
此外,他们还采用各种初始访问方法,例如利用 Storm-0249 和 Storm-0900 等访问代理建立的立足点。他们还针对未打补丁的面向互联网的服务器,利用 Zoho ManageEngine、Citrix NetScaler 和 Adobe ColdFusion 2016 等平台中已知的远程代码执行漏洞。
通过利用上述任何一种方法,Storm-0501 都有机会进行广泛的侦察,使他们能够识别高价值资产、收集域信息并执行 Active Directory 调查。此阶段通常会安装远程监控和管理工具 (RMM),以确保持续访问和持久性。
Storm-0501 的权限利用
威胁行为者利用在初始访问阶段从受感染的本地设备获得的管理权限,试图通过各种方法扩大其在网络中的覆盖范围。他们首先使用了 Impacket 的 SecretsDump 模块,该模块有助于通过网络提取凭据,并利用它来收集各种设备中的有价值的登录信息。
一旦获得这些被盗用的凭证,威胁者就会利用它们渗透到其他设备并提取更多凭证。在此过程中,他们访问敏感文件以检索 KeePass 机密,并执行暴力攻击以获取目标帐户的凭证。
横向移动和数据泄露
研究人员发现 Storm-0501 利用Cobalt Strike在网络内进行横向移动,利用窃取的凭证执行后续命令。为了从本地环境中窃取数据,他们利用 Rclone 将敏感数据传输到 MegaSync 公共云存储服务。
此外,该威胁行为者还因建立对云环境的持久后门访问并在本地系统上部署勒索软件而闻名。这标志着他们是继 Octo Tempest 和 Manatee Tempest 等团体的脚步之后,最新专注于混合云设置的威胁行为者。
瞄准云
威胁行为者利用收集的凭据,特别是来自 Microsoft Entra ID(以前称为 Azure AD)的凭据,促进从本地系统到云环境的横向移动,从而建立持久的后门以持续访问目标网络。
这种向云的转变通常是通过破坏 Microsoft Entra Connect Sync 用户帐户或劫持拥有云中管理员帐户的本地用户帐户的会话来实现的,特别是在禁用多因素身份验证 (MFA) 的情况下。
部署禁运勒索软件
一旦威胁行为者获得了对网络的足够控制并成功窃取了感兴趣的文件,攻击最终会在整个受害组织中部署 Embargo 勒索软件。Embargo 是一种基于 Rust 的勒索软件变体,于 2024 年 5 月首次被发现。
Embargo 背后的组织采用勒索软件即服务 (RaaS) 模式,允许 Storm-0501 等关联公司利用其平台发起攻击,以换取一定比例的赎金。Embargo 关联公司采用双重勒索策略,加密受害者的文件,同时威胁称,除非支付赎金,否则将发布敏感的收集数据。
