تحدد Microsoft Storm-0501مجموعة قرصنة متطورة تستهدف البنية التحتية الأمريكية الحيوية: تحذير من هجمات فدية واسعة النطاق Hybrid Cloud Ransomware
استهدف ممثل التهديد المعروف باسم Storm-0501 قطاعات الحكومة والتصنيع والنقل وإنفاذ القانون في الولايات المتحدة لشن هجمات برامج الفدية.
استهدف ممثل التهديد المعروف باسم Storm-0501 قطاعات الحكومة والتصنيع والنقل وإنفاذ القانون في الولايات المتحدة لشن هجمات برامج الفدية.
وقالت مايكروسوفت إن حملة الهجوم متعددة المراحل مصممة لتسوية البيئات السحابية الهجينة وإجراء حركة جانبية من البيئة المحلية إلى البيئة السحابية، مما يؤدي في النهاية إلى تسرب البيانات، وسرقة بيانات الاعتماد، والعبث، والوصول المستمر إلى الباب الخلفي، ونشر برامج الفدية.
“Storm-0501 هي مجموعة إجرامية إلكترونية ذات دوافع مالية تستخدم أدوات سلعية ومفتوحة المصدر لإجراء عمليات برامج الفدية.” حسب لفريق استخبارات التهديدات الخاص بعملاق التكنولوجيا.
نشط منذ عام 2021، لدى جهة التهديد تاريخ في استهداف الكيانات التعليمية باستخدام برنامج الفدية Sabbath (54bb47h) قبل أن يتطور إلى برنامج فدية كخدمة (RaaS) شركة تابعة تقدم حمولات متنوعة من برامج الفدية على مر السنين، بما في ذلك Hive وBlackCat (ALPHV) وHunters International وLockBit وEmbargo ransomware.
أحد الجوانب البارزة في هجمات Storm-0501 هو استخدام بيانات الاعتماد الضعيفة والحسابات ذات الامتيازات الزائدة للانتقال من المؤسسات المحلية إلى البنية التحتية السحابية.
تشمل طرق الوصول الأولية الأخرى استخدام موطئ قدم أنشأه بالفعل وسطاء الوصول مثل Storm-0249 وStorm-0900، أو استغلال العديد من الثغرات الأمنية المعروفة لتنفيذ التعليمات البرمجية عن بُعد في خوادم غير مصححة متصلة بالإنترنت مثل Zoho ManageEngine وCitrix NetScaler وAdobe ColdFusion 2016.
يمهد الوصول الذي يوفره أي من الأساليب المذكورة أعلاه الطريق لعمليات اكتشاف واسعة النطاق لتحديد الأصول عالية القيمة، وجمع معلومات المجال، وإجراء استطلاع Active Directory. ويتبع ذلك نشر أدوات المراقبة والإدارة عن بعد (RMMs) مثل AnyDesk للحفاظ على الثبات.
وقالت مايكروسوفت: “استغل ممثل التهديد امتيازات المسؤول على الأجهزة المحلية التي اخترقها أثناء الوصول الأولي وحاول الوصول إلى المزيد من الحسابات داخل الشبكة من خلال عدة طرق”.
“استخدم ممثل التهديد في المقام الأول وحدة SecretsDump الخاصة بـ Impacket، والتي تستخرج بيانات الاعتماد عبر الشبكة، وتستفيد منها عبر عدد كبير من الأجهزة للحصول على بيانات الاعتماد.”
يتم بعد ذلك استخدام بيانات الاعتماد المخترقة للوصول إلى المزيد من الأجهزة واستخراج بيانات اعتماد إضافية، حيث يصل ممثل التهديد في الوقت نفسه إلى الملفات الحساسة لاستخراج أسرار KeePass وتنفيذ هجمات القوة الغاشمة للحصول على بيانات اعتماد لحسابات محددة.
وقالت مايكروسوفت إنها اكتشفت أن Storm-0501 يستخدم Cobalt Strike للتحرك أفقيًا عبر الشبكة باستخدام بيانات الاعتماد المخترقة وإرسال أوامر المتابعة. يتم إنجاز عملية استخراج البيانات من البيئة المحلية باستخدام Rclone لنقل البيانات إلى خدمة التخزين السحابية العامة MegaSync.
وقد لوحظ أيضًا أن جهة التهديد تقوم بإنشاء وصول مستتر مستمر إلى البيئة السحابية ونشر برامج الفدية في أماكن العمل، مما يجعلها أحدث جهة تهديد تستهدف إعدادات السحابة الهجينة بعد Octo Tempest وManatee Tempest.
“استخدم ممثل التهديد بيانات الاعتماد، وتحديدًا Microsoft Entra ID (Azure AD سابقًا)، التي تمت سرقتها من وقت سابق في الهجوم للانتقال أفقيًا من البيئة المحلية إلى البيئة السحابية وإنشاء وصول مستمر إلى الشبكة المستهدفة من خلال باب خلفي، ” قال ريدموند.
يقال إن المحور إلى السحابة يتم إنجازه إما من خلال حساب مستخدم Microsoft Entra Connect Sync المخترق أو عبر اختطاف الجلسة السحابية لحساب مستخدم محلي لديه حساب مسؤول خاص به في السحابة مع تعطيل المصادقة متعددة العوامل (MFA) .
ويبلغ الهجوم ذروته بنشر برنامج الفدية Embargo عبر المؤسسة الضحية بعد الحصول على سيطرة كافية على الشبكة، وإخراج الملفات ذات الأهمية، والتحرك الجانبي إلى السحابة. الحظر هو برنامج فدية قائم على Rust تم اكتشافه لأول مرة في مايو 2024.
وقالت مايكروسوفت: “من خلال العمل بموجب نموذج RaaS، تسمح مجموعة برامج الفدية التي تقف وراء Embargo للشركات التابعة مثل Storm-0501 باستخدام منصتها لشن هجمات مقابل الحصول على حصة من الفدية”.
“تستخدم الشركات التابعة للحظر أساليب ابتزاز مزدوجة، حيث تقوم أولاً بتشفير ملفات الضحية والتهديد بتسريب البيانات الحساسة المسروقة ما لم يتم دفع فدية.”
ومع ذلك، فإن الأدلة التي جمعتها الشركة المصنعة لنظام التشغيل Windows تظهر أن جهة التهديد لا تلجأ دائمًا إلى توزيع برامج الفدية، وبدلاً من ذلك تختار فقط الحفاظ على الوصول الخلفي إلى الشبكة في بعض الحالات.
ويأتي هذا الكشف في الوقت الذي تستهدف فيه مجموعة DragonForce Ransomware الشركات في قطاعات التصنيع والعقارات والنقل باستخدام نسخة مختلفة من أداة إنشاء LockBit3.0 المسربة ونسخة معدلة من Conti.
وتتميز الهجمات باستخدام الباب الخلفي SystemBC للثبات، وMimikatz وCobalt Strike لجمع بيانات الاعتماد، وCobalt Strike للحركة الجانبية. وتمثل الولايات المتحدة أكثر من 50% من إجمالي الضحايا، تليها المملكة المتحدة وأستراليا.
وقالت شركة Group-IB ومقرها سنغافورة: “تستخدم المجموعة أساليب ابتزاز مزدوجة، وتشفير البيانات، والتهديد بالتسريبات ما لم يتم دفع فدية”. قال. “يقدم البرنامج التابع، الذي تم إطلاقه في 26 يونيو 2024، 80% من الفدية للشركات التابعة، إلى جانب أدوات لإدارة الهجوم والأتمتة”.
