Ενεργή από το 2021 τουλάχιστον, ο οικονομικά υποκινούμενος παράγοντας απειλής με την ονομασία «Storm-0501» είναι γνωστός για τη χρήση διαφόρων οικογενειών ransomware σε επιθέσεις κατά on-premise και υβριδικών cloud περιβαλλόντων, συμπεριλαμβανομένων των Sabbath, Alphv/BlackCat, Hive, Hunters International, LockBit και Embargo.
Παλιότερες τακτικές της ομάδας
Το περασμένο έτος, η ομάδα χάκερ παρατηρήθηκε να παραβιάζει περιβάλλοντα Active Directory, να μετακινείται στο Entra ID, να κλιμακώνει προνόμια σε global administrator, να τοποθετεί backdoors στις ρυθμίσεις tenants του Entra ID και να αναπτύσσει on-premises ransomware για κρυπτογράφηση αρχείων.
Σε μια πρόσφατη επίθεση κατά μεγάλης επιχείρησης, ο παράγοντας απειλής χρησιμοποίησε παρόμοιες τακτικές: παραβίασε πολλούς Active Directory τομείς, εκτέλεσε αναγνώριση για να εντοπίσει προστατευμένα endpoints και να αποφύγει τον εντοπισμό, και κινήθηκε πλευρικά χρησιμοποιώντας το εργαλείο μετα-εκμετάλλευσης Evil-WinRM.
Κατάληψη ταυτοτήτων Entra
Η Storm-0501 στη συνέχεια παραβίασε έναν Entra Connect Sync server και υποδύθηκε τον domain controller για να ζητήσει password hashes για domain users. Επίσης κατέγραψε χρήστες, ρόλους και Azure πόρους, και επιχείρησε να συνδεθεί ως διάφοροι προνομιούχοι χρήστες.
Ανεπιτυχείς στις προσπάθειες σύνδεσης, οι χάκερ κινήθηκαν μεταξύ Active Directory τομέων, παραβίασαν άλλον Entra Connect server, εντόπισαν μια non-human συγχρονισμένη ταυτότητα που είχε global administrator προνόμια στο Entra ID, και επανακαθόρισαν τον κωδικό της για να αποκτήσουν πρόσβαση στον λογαριασμό.
«Κατά συνέπεια, ο παράγοντας απειλής μπόρεσε να πιστοποιηθεί στο Entra ID ως εκείνος ο χρήστης χρησιμοποιώντας τον νέο κωδικό. Εφόσον δεν είχε καταχωρηθεί MFA σε αυτόν τον χρήστη, μετά την επιτυχημένη πιστοποίηση με τον νέο κωδικό, ο παράγοντας απειλής ανακατευθύνθηκε απλά ώστε να καταχωρήσει μια νέα μέθοδο MFA υπό τον έλεγχό του», εξηγεί η Microsoft.
Απόκτηση πλήρους ελέγχου Azure
Μετά τον εντοπισμό μιας Microsoft Entra hybrid joined συσκευής, η Storm-0501 μπόρεσε να αποκτήσει πρόσβαση στο Azure portal ως global admin, αποκτώντας πλήρη έλεγχο του cloud domain. Αμέσως ανέπτυξε backdoor που τους επέτρεψε να συνδέονται ως οποιοσδήποτε χρήστης, μέσω καταχώρησης νέου Entra ID tenant.
Με top-level Entra ID προνόμια, οι χάκερ ανήγαγαν τα δικαιώματά τους σε Owner Azure role σε όλες τις Azure συνδρομές του θύματος, καταλαμβάνοντας ουσιαστικά ολόκληρο το Azure περιβάλλον.
Φάση αναγνώρισης και κλοπής δεδομένων
«Αξιολογούμε ότι ο παράγοντας απειλής ξεκίνησε μια ολοκληρωμένη φάση αναγνώρισης χρησιμοποιώντας διάφορες τεχνικές, συμπεριλαμβανομένης της χρήσης του εργαλείου AzureHound, όπου επιχείρησε να εντοπίσει κρίσιμα assets του οργανισμού, όπως αποθηκευτικούς χώρους δεδομένων που περιείχαν ευαίσθητες πληροφορίες, καθώς και πόρους backup για on-premises και cloud endpoint συσκευές», σημειώνει η Microsoft.
Οι επιτιθέμενοι στοχοποίησαν επίσης Azure Storage accounts, καταχρώμενοι τον Azure Owner ρόλο για να κλέψουν τα access keys τους και στη συνέχεια εξέθεσαν λογαριασμούς που δεν ήταν προσβάσιμοι από το διαδίκτυο στο web και στη δική τους υποδομή, ενώ χρησιμοποίησαν το εργαλείο AzCopy CLI για εξαγωγή δεδομένων.
Καταστροφή και εκβιασμός
Αφού έκλεψαν τα δεδομένα, οι χάκερ ξεκίνησαν μαζική διαγραφή τους για να αποτρέψουν ενέργειες αποκατάστασης. Επίσης επιχείρησαν να διαγράψουν προστασίες που απέτρεπαν τη διαγραφή ορισμένων δεδομένων και αξιοποίησαν cloud-based κρυπτογράφηση για πόρους που δεν μπορούσαν να διαγραφούν.
«Μετά την επιτυχημένη εξαγωγή και καταστροφή των δεδομένων εντός του Azure περιβάλλοντος, ο παράγοντας απειλής ξεκίνησε τη φάση εκβιασμού, όπου επικοινώνησε με τα θύματα μέσω Microsoft Teams χρησιμοποιώντας έναν από τους προηγουμένως παραβιασμένους χρήστες, απαιτώντας λύτρα», αναφέρει η Microsoft.
Προσαρμογή στις υβριδικές υποδομές
Ο τεχνολογικός κολοσσός επισημαίνει επίσης ότι, μετά την παραβίαση του cloud περιβάλλοντος του θύματος, η Storm-0501 βασίστηκε σε cloud-native εντολές και λειτουργίες για να εκτελέσει αναγνώριση, πλευρική κίνηση, εξαγωγή διαπιστευτηρίων, κλιμάκωση προνομίων και εξαγωγή, διαγραφή και κρυπτογράφηση δεδομένων.
«Η Storm-0501 συνεχίζει να επιδεικνύει επάρκεια στη μετακίνηση μεταξύ on-premises και cloud περιβαλλόντων, αποδεικνύοντας πώς οι παράγοντες απειλής προσαρμόζονται καθώς αυξάνεται η υιοθέτηση του υβριδικού cloud. Κυνηγούν μη διαχειριζόμενες συσκευές και κενά ασφαλείας σε υβριδικά περιβάλλοντα για να αποφύγουν τον εντοπισμό και να κλιμακώσουν προνόμια στο cloud και, σε ορισμένες περιπτώσεις, κινούνται μεταξύ tenants σε multi-tenant setups για να επιτύχουν τους στόχους τους», σημειώνει η εταιρεία.
