Storm-0501 olarak bilinen tehdit aktörü, fidye yazılımı saldırıları düzenlemek için ABD’deki hükümet, imalat, ulaşım ve emniyet sektörlerini hedef aldı.
Microsoft, çok aşamalı saldırı kampanyasının hibrit bulut ortamlarını tehlikeye atmak ve şirket içinden bulut ortamına yanal hareket gerçekleştirmek için tasarlandığını ve sonuçta veri sızıntısı, kimlik bilgileri hırsızlığı, kurcalama, kalıcı arka kapı erişimi ve fidye yazılımı dağıtımıyla sonuçlandığını söyledi.
“Storm-0501, fidye yazılımı operasyonlarını yürütmek için emtia ve açık kaynak araçları kullanan, finansal motivasyona sahip bir siber suç grubudur.” binaen teknoloji devinin tehdit istihbarat ekibine.
2021’den bu yana aktif olan tehdit aktörünün, hizmet olarak fidye yazılımına dönüşmeden önce Sabbath (54bb47h) fidye yazılımıyla eğitim kuruluşlarını hedef alma geçmişi bulunuyor (RaaS) yıllar boyunca Hive, BlackCat (ALPHV), Hunters International, LockBit ve Embargo fidye yazılımı dahil olmak üzere çeşitli fidye yazılımı yükleri sağlayan bağlı kuruluştur.
Storm-0501’in saldırılarının dikkate değer bir yönü, şirket içi kuruluşlardan bulut altyapısına geçmek için zayıf kimlik bilgilerinin ve aşırı ayrıcalıklı hesapların kullanılmasıdır.
Diğer ilk erişim yöntemleri arasında Storm-0249 ve Storm-0900 gibi erişim aracıları tarafından önceden oluşturulmuş bir dayanak noktasının kullanılması veya Zoho ManageEngine, Citrix NetScaler ve Adobe ColdFusion 2016 gibi internete yönelik yama yapılmamış sunucularda bilinen çeşitli uzaktan kod yürütme güvenlik açıklarından yararlanılması yer alır.
Yukarıda belirtilen yaklaşımlardan herhangi birinin sağladığı erişim, yüksek değerli varlıkların belirlenmesi, etki alanı bilgilerinin toplanması ve Active Directory keşiflerinin gerçekleştirilmesi için kapsamlı keşif operasyonlarının önünü açar. Bunu, kalıcılığı sürdürmek için AnyDesk gibi uzaktan izleme ve yönetim araçlarının (RMM’ler) konuşlandırılması takip ediyor.
Microsoft, “Tehdit aktörü, ilk erişim sırasında tehlikeye attığı yerel cihazlardaki yönetici ayrıcalıklarından yararlandı ve çeşitli yöntemlerle ağ içinde daha fazla hesaba erişim sağlamaya çalıştı.” dedi.
“Tehdit aktörü öncelikli olarak ağ üzerinden kimlik bilgilerini çıkaran Impacket’in SecretsDump modülünü kullandı ve kimlik bilgilerini elde etmek için bunu çok sayıda cihazda kullandı.”
Güvenliği ihlal edilen kimlik bilgileri daha sonra daha fazla cihaza erişmek ve ek kimlik bilgileri çıkarmak için kullanılır; tehdit aktörü aynı anda KeePass sırlarını çıkarmak için hassas dosyalara erişir ve belirli hesaplara yönelik kimlik bilgilerini elde etmek için kaba kuvvet saldırıları gerçekleştirir.
Microsoft, Storm-0501’in, güvenliği ihlal edilmiş kimlik bilgilerini kullanarak ağ üzerinde yanal olarak hareket etmek ve takip komutları göndermek için Cobalt Strike’ı kullandığını tespit ettiğini söyledi. Şirket içi ortamdan veri sızdırma, verileri MegaSync genel bulut depolama hizmetine aktarmak için Rclone kullanılarak gerçekleştirilir.
Tehdit aktörünün ayrıca bulut ortamına kalıcı arka kapı erişimi sağladığı ve şirket içi fidye yazılımı dağıttığı da gözlemlendi; bu da onu Octo Tempest ve Manatee Tempest’ten sonra hibrit bulut kurulumlarını hedef alan en son tehdit aktörü haline getiriyor.
“Tehdit aktörü, saldırının başlarında çalınan kimlik bilgilerini, özellikle de Microsoft Entra ID’yi (eski adıyla Azure AD), şirket içinden bulut ortamına yatay olarak geçmek ve bir arka kapı aracılığıyla hedef ağa kalıcı erişim sağlamak için kullandı. ” dedi Redmond.
Buluta geçişin, güvenliği ihlal edilmiş bir Microsoft Entra Connect Sync kullanıcı hesabı aracılığıyla ya da çok faktörlü kimlik doğrulamanın (MFA) devre dışı bırakıldığı bulutta ilgili bir yönetici hesabına sahip şirket içi bir kullanıcı hesabının bulut oturumunun ele geçirilmesi yoluyla gerçekleştirildiği söyleniyor .
Saldırı, ağ üzerinde yeterli kontrolün elde edilmesi, ilgilenilen dosyaların dışarı sızması ve buluta doğru yatay hareketin ardından Embargo fidye yazılımının kurban kuruluş genelinde yayılmasıyla sonuçlanır. Ambargo İlk olarak Mayıs 2024’te keşfedilen Rust tabanlı bir fidye yazılımıdır.
Microsoft, “RaaS modeli altında çalışan Embargo’nun arkasındaki fidye yazılımı grubu, Storm-0501 gibi bağlı kuruluşların, fidyeden bir pay karşılığında saldırılar başlatmak için kendi platformunu kullanmasına izin veriyor” dedi.
“Ambargoya bağlı kuruluşlar, önce kurbanın dosyalarını şifreleyerek, fidye ödenmediği takdirde çalınan hassas verileri sızdırmakla tehdit ederek çifte şantaj taktiği uyguluyor.”
Bununla birlikte, Windows üreticisi tarafından toplanan kanıtlar, tehdit aktörünün her zaman fidye yazılımı dağıtımına başvurmadığını, bunun yerine bazı durumlarda ağa yalnızca arka kapı erişimini sürdürmeyi tercih ettiğini gösteriyor.
Açıklama, DragonForce fidye yazılımı grubunun, sızdırılan LockBit3.0 oluşturucusunun bir çeşidini ve Conti’nin değiştirilmiş bir versiyonunu kullanarak imalat, emlak ve ulaşım sektörlerindeki şirketleri hedef almasıyla geldi.
Saldırılar, kalıcılık için SystemBC arka kapısının, kimlik bilgisi toplama için Mimikatz ve Cobalt Strike’ın ve yanal hareket için Cobalt Strike’ın kullanılmasıyla karakterize ediliyor. ABD, toplam kurbanların yüzde 50’sinden fazlasını oluşturuyor ve onu İngiltere ve Avustralya izliyor.
Singapur merkezli Group-IB, “Grup çifte şantaj taktiği uyguluyor, verileri şifreliyor ve fidye ödenmediği takdirde sızıntı tehdidinde bulunuyor.” söz konusu. “26 Haziran 2024’te başlatılan ortaklık programı, fidyenin %80’ini saldırı yönetimi ve otomasyon araçlarıyla birlikte bağlı kuruluşlara sunuyor.”
