Компания Microsoft недавно выпустила предупреждение о смене тактики известной вымогательской группировки Storm-0501. Эксперты по кибербезопасности отмечают, что хакеры теперь нацелены на гибридные облачные среды, что представляет серьезную угрозу для организаций, использующих комбинированные локальные и облачные инфраструктуры.
История и эволюция Storm-0501
Группировка Storm-0501 впервые попала в поле зрения специалистов по информационной безопасности в 2021 году. Изначально они были связаны с распространением шифровальщика Sabbath, но со временем расширили свой арсенал, сотрудничая с другими известными группами киберпреступников, такими как Hive, BlackCat, LockBit и Hunters International. Недавнее исследование Microsoft показало, что Storm-0501 начала использовать новый вымогатель под названием Embargo, написанный на языке программирования Rust.
Целевые сектора и методы проникновения
Последние атаки Storm-0501 были направлены на широкий спектр организаций, включая медицинские учреждения, правительственные органы, производственные и логистические компании, а также правоохранительные структуры США. Злоумышленники используют комбинацию методов для получения первоначального доступа:
- Эксплуатация слабых учетных данных
- Использование известных уязвимостей в популярном программном обеспечении
- Приобретение скомпрометированных учетных данных на черном рынке
Среди уязвимостей, активно эксплуатируемых группировкой, выделяются CVE-2022-47966 (Zoho ManageEngine), CVE-2023-4966 (Citrix NetScaler), CVE-2023-29300 и CVE-2023-38203 (ColdFusion 2016).
Тактика атак на гибридные облачные среды
После получения первоначального доступа, Storm-0501 использует сложную многоэтапную стратегию для компрометации как локальной, так и облачной инфраструктуры жертвы:
1. Lateral Movement и сбор данных
Злоумышленники применяют инструменты вроде Impacket и Cobalt Strike для бокового перемещения внутри сети. Они отключают защитные механизмы с помощью PowerShell и используют модифицированную версию Rclone для экфильтрации данных.
2. Компрометация облачной среды
Используя украденные учетные данные Microsoft Entra ID (бывший Azure AD), атакующие переходят из локальной среды в облачную. Они компрометируют аккаунты синхронизации и перехватывают сеансы для закрепления в системе.
3. Эскалация привилегий в облаке
Storm-0501 эксплуатирует учетные записи Microsoft Entra Connect Sync, которые обычно имеют широкие полномочия. Это позволяет им изменять облачные пароли и обходить дополнительные меры защиты, используя такие инструменты, как AADInternals.
4. Создание постоянного бэкдора
Злоумышленники устанавливают долгосрочный доступ, создавая новый федеративный домен в рамках тенанта Microsoft Entra. Это позволяет им аутентифицироваться под видом любого пользователя с известным или установленным свойством Immutableid.
Финальная стадия атаки
На заключительном этапе Storm-0501 либо разворачивает шифровальщик Embargo в локальных и облачных средах жертв, либо сохраняет полученный бэкдор-доступ для будущих атак. Это демонстрирует гибкость их подхода и долгосрочную стратегию компрометации целевых организаций.
Эволюция тактики Storm-0501 подчеркивает растущую сложность кибератак на современные гибридные инфраструктуры. Организациям крайне важно усилить защиту как локальных, так и облачных сред, уделяя особое внимание управлению учетными данными, мониторингу подозрительной активности и своевременному обновлению систем безопасности. Только комплексный подход к кибербезопасности может обеспечить эффективную защиту от подобных продвинутых угроз.