Кіберзлочинне угруповання Storm-0501 нещодавно змінило свою тактику, спрямувавши атаки на гібридні хмарні середовища. Ця тривожна тенденція, виявлена фахівцями Microsoft, свідчить про зростаючу загрозу для організацій, що використовують комбіновані локальні та хмарні інфраструктури.
Історія та еволюція Storm-0501
Вперше виявлене у 2021 році, угруповання Storm-0501 спочатку було пов’язане з вимагацьким ПЗ Sabbath. З часом хакери розширили свій арсенал, співпрацюючи з іншими зловмисними групами, такими як Hive, BlackCat, LockBit та Hunters International. Останнім часом Storm-0501 почало використовувати власне вимагацьке ПЗ під назвою Embargo, написане мовою програмування Rust.
Цілі та методи атак
Нещодавні атаки Storm-0501 були спрямовані на широкий спектр організацій, включаючи лікарні, урядові установи, виробничі та логістичні компанії, а також правоохоронні органи США. Зловмисники отримують доступ до хмарних середовищ жертв, експлуатуючи слабкі облікові дані та відомі вразливості. Серед використовуваних вразливостей: CVE-2022-47966 (Zoho ManageEngine), CVE-2023-4966 (Citrix NetScaler), CVE-2023-29300 та CVE-2023-38203 (ColdFusion 2016).
Тактика проникнення та закріплення
Storm-0501 застосовує складну тактику для проникнення та закріплення в системах жертв:
- Використання фреймворків Impacket та Cobalt Strike для бокового переміщення
- Відключення захисних механізмів за допомогою команд PowerShell
- Застосування кастомного бінарника Rclone для викрадення даних
- Компрометація облікових записів Microsoft Entra ID (раніше Azure AD) для переміщення між локальним та хмарним середовищами
Експлуатація гібридних хмарних середовищ
Особливу небезпеку становить здатність Storm-0501 експлуатувати взаємозв’язок між локальними та хмарними середовищами. Зловмисники використовують облікові записи Microsoft Entra Connect Sync, які зазвичай мають широкі повноваження, для синхронізації даних між локальною Active Directory та хмарною Microsoft Entra ID. Це дозволяє їм обходити додаткові засоби захисту та отримувати контроль над хмарною інфраструктурою.
Створення постійного бекдору
Після отримання доступу до хмарної інфраструктури, Storm-0501 встановлює постійний бекдор шляхом створення нового федеративного домену в рамках тенанта Microsoft Entra. Це дозволяє зловмисникам аутентифікуватися під виглядом будь-якого користувача з відомим або встановленим атрибутом Immutableid.
Ця нова тактика Storm-0501 підкреслює критичну важливість комплексного підходу до кібербезпеки, особливо для організацій, що використовують гібридні хмарні середовища. Впровадження надійної багатофакторної автентифікації, регулярний моніторинг підозрілої активності та своєчасне оновлення систем є ключовими кроками для захисту від подібних загроз. Організаціям також рекомендується проводити регулярні аудити безпеки своєї інфраструктури та навчати персонал розпізнавати та реагувати на потенційні кіберзагрози.