Storm-0501 támadás hibrid felhőkörnyezetek ellen
A Microsoft megfigyelte, hogy a Storm-0501 néven nyomon követett kiberszereplő többlépcsős támadást indított, amelynek során hibrid felhőkörnyezeteket kompromittált, és oldalirányú mozgást hajtott végre az on-prem környezetből a felhőkörnyezetbe, ami adatok kiszivárogtatásához, hitelesítő adatok ellopásához, manipuláláshoz, backdoor telepítéséhez és ransomware fertőzéshez vezetett. Az említett támadás az Egyesült Államok több szektorát célozta meg, köztük a kormányzati, a gyártási, a közlekedési és a bűnüldözési ágazatot. A Storm-0501 egy pénzügyileg motivált kiberbűnözői csoport, amely nyílt forráskódú eszközöket használ a ransomware műveletek végrehajtásához.
A Storm-0501 már 2021-ben is aktív volt, kezdetben megfigyelték, hogy a Sabbath(54bb47h) ransomware-t vetette be az amerikai iskolai körzeteket célzó támadásokban, nyilvánosan szivárogtatott ki adatokat zsarolás céljából, sőt közvetlenül az iskolai személyzetnek és a szülőknek küldött üzeneteket. Azóta a kiberszereplő támadásainak többsége opportunista jellegű, mivel a csoport ransomware-as-a-service (RaaS) csoportként kezdett működni, amely az évek során több, más kiberszereplők által kifejlesztett és karbantartott ransomware hasznos terhelését telepítette, köztük a Hive, BlackCat (ALPHV), Hunters International, LockBit és legutóbb az Embargo ransomware-t. A csoport nemrégiben az amerikai kórházakat is célba véve.
A Storm-0501 a gyenge hitelesítő adatokat és a privilegizált fiókokat használja ki, hogy a szervezetek on-prem környezetéből felhőkörnyezetekbe lépjen át. Ellopja a hitelesítő adatokat, és azokat arra használja, hogy megszerezze az irányítást a hálózat felett, végül backdoor-t telepít a felhőkörnyezethez való tartós hozzáféréshez, és ransomware-t telepít az on-prem környezetbe. A Microsoft korábban megfigyelte, hogy az Octo Tempest és a Manatee Tempest nevű kiberszereplők mind on-prem, mind felhőalapú környezeteket is megcéloztak, és a környezetek közötti interfészeket használták ki céljaik eléréséhez.
A Microsoft blogbejegyzésében ismerteti a Storm-0501 taktikáit, technikáit és eljárásait (TTP), valamint a tipikus támadási módszereket . A Microsoft enyhítési útmutatást is közzétett a fenyegetéssel szembeni védekezés érdekében, valamint megosztotta az IOC-kat.
