В последнем блоге Microsoft по анализу угроз всем организациям дается предупреждение о недавнем изменении тактики, нацеливания и бэкдоринга в гибридных облачных средах Storm-0501.
Используя множество тактик для достижения своих целей, Storm-0501 имеет тенденцию захватывать контроль над целыми сетями посредством взлома облаков. Участники сначала получают доступ к локальным средам, а затем переходят в облако, внедряя бэкдоры для постоянного доступа и развертывая программы-вымогатели.
Шторм-0501, действующий с 2021 года, по-прежнему считается новой группой с точки зрения Microsoft, отсюда и соглашение об именовании «Шторм», зарезервированное для групп, все еще находящихся в стадии разработки.
Несмотря на свой молодой статус, группа активно осуществляла атаки с использованием программ-вымогателей, являясь участником партнерских программ LockBit, ALPHV, Hive и Hunters International.
Совсем недавно Microsoft заметила, что она использует вредоносную программу-вымогатель Embargo, и отдельно сравнила ее с более устоявшимися, финансово мотивированными группами, такими как Octo Tempest (Scattered Spider) и Manatee Tempest (Evil Corp).
Типичная атака Storm-0501 довольно стандартна – не так много сюрпризов. Первоначальные брокеры доступа (IAB) используются для, ну, первоначального доступа во многих случаях, в то время как уязвимости в общедоступных серверах также эксплуатируются при необходимости.
Группа нацеливается на чрезмерно привилегированные учетные записи на этом этапе, и как только ее члены получают контроль над ними, они обычно используют модуль SecretsDump от Impacket для сканирования дополнительных учетных данных, которые могут быть использованы для компрометации большего количества учетных записей. Этот процесс повторяется до тех пор, пока многочисленные учетные записи не окажутся под контролем злоумышленников, и в идеальном для них мире это будет включать несколько учетных записей администратора домена.
Старый верный Cobalt Strike используется для бокового перемещения, которое часто заканчивается доступом к контроллеру домена и, как следствие, кражей данных и развертыванием программы-вымогателя.
Однако недавние атаки дали исследователям повод для беспокойства. Во время фазы сбора учетных данных Storm-0501 использовал украденные учетные данные для Entra ID, чтобы перейти из локальной среды в облачную, где они приступили к внедрению бэкдора.
Злоумышленники использовали два разных метода для получения контроля над Entra ID, первый из которых заключался в компрометации учетных записей службы Entra Connect Sync, учетные данные которых хранятся в зашифрованном виде на диске сервера или удаленном сервере SQL.
«Мы можем с высокой степенью уверенности утверждать, что в ходе недавней кампании Storm-0501 злоумышленник специально обнаружил серверы Microsoft Entra Connect Sync и сумел извлечь текстовые учетные данные облачных и локальных учетных записей синхронизации Microsoft Entra Connect», — написала компания Microsoft.
«Мы считаем, что злоумышленнику удалось добиться этого благодаря предыдущим вредоносным действиям, описанным в этой записи блога, таким как использование Impacket для кражи учетных данных и ключей шифрования DPAPI, а также вмешательство в продукты безопасности.
«Компрометация учетной записи Microsoft Entra Connect Sync представляет высокий риск для цели, поскольку она может позволить злоумышленнику устанавливать или изменять пароли Microsoft Entra ID любой гибридной учетной записи (локальной учетной записи, синхронизированной с Microsoft Entra ID)».
Еще одна тактика, которую Storm-0501 использовал для успешного перехода в облако, заключается в компрометации локальной учетной записи администратора домена, которая имеет эквивалент в облаке, не защищенный с помощью MFA и также имеющий роль глобального администратора.
Служба синхронизации недоступна для таких учетных записей в Entra, поэтому злоумышленнику должно повезти, чтобы найти учетную запись, которая не защищена MFA и использует тот же пароль, что и локальная учетная запись.
Включение MFA значительно усложнит этот способ атаки и снизит вероятность успеха. В этом случае злоумышленнику придется либо взломать саму защиту MFA, либо предпринять дополнительные шаги для взлома устройства пользователя и либо перехватить его облачный сеанс, либо извлечь токены доступа Entra.
Какой бы путь ни выбрал Storm-0501, он часто приводит к внедрению бэкдоров для постоянного доступа путем создания федеративного домена, что позволяет ему аутентифицироваться как любой пользователь-арендатор Entra ID.
После того, как цель полностью скомпрометирована и ее данные украдены, вот тогда-то и появляется программа-вымогатель, или нет. Хотя Storm-0501 теперь выбирает полезную нагрузку Embargo, которая следует типичной модели двойного вымогательства, не все его атаки приводят к развертыванию программ-вымогателей. Некоторые просто останавливались после того, как был установлен бэкдор, сообщила Microsoft в своем блоге, который также включает советы по охоте за угрозами и обширную коллекцию индикаторов компрометации. ®