Birkaç yüksek profilli hizmet olarak fidye yazılımı ekibinin bir üyesi olan Storm-0501’in, hedeflerin bulut ortamlarını ve şirket içi sistemlerini tehlikeye attığı tespit edildi.
“Storm-0501, kuruluşların şirket içi ortamından bulut ortamlarına geçmek için zayıf kimlik bilgilerinden ve aşırı ayrıcalıklı hesaplardan yararlandığı gözlemlenen en son tehdit aktörüdür. Kimlik bilgilerini çaldılar ve bunları ağın kontrolünü ele geçirmek için kullandılar, sonunda bulut ortamına kalıcı arka kapı erişimi oluşturdular ve şirket içine fidye yazılımı dağıttılar,” diye Microsoft geçen hafta paylaştı.
Ortak taktik ve teknikler
Storm-0501, (en azından) üç yılı aşkın bir süredir aktif olan ve Hive, BlackHat, LockBit ve Hunters International çeteleri tarafından sağlanan fidye yazılımlarını hedef kuruluşlara yükleyen bir tehdit aktörüdür. Yakın zamanda Ambargo fidye yazılımını düşürmeye başladılar.
Storm-0501 saldırı zinciri (Kaynak: Microsoft)
Kullandıkları taktik ve tekniklerin çoğu iyi biliniyor ve çeşitli saldırganlar tarafından kullanılıyor:
- Çalınan kimlik bilgilerinden veya yama yapılmamış, halka açık uygulamalara veya cihazlara (örneğin, Zoho ManageEngine ServiceDesk Plus, Citrix NetScaler ADC ve Gateway, vb.) karşı n-günlük açıklardan yararlanarak ilk erişimi elde ederler.
- Yerel Windows araçları ve komutları ve açık kaynak araçları aracılığıyla yüksek değerli varlıkları ve Etki Alanı Yöneticisi kullanıcıları ve etki alanı ormanı güveni gibi genel etki alanı bilgilerini belirlemek için ağ keşfi gerçekleştirirler.
- Bir dizi uzaktan izleme ve yönetim aracını (örneğin, AnyDesk, NinjaOne, vb.) dağıtırlar.
- Impacket’i kullanarak, ele geçirilen cihazlardan KeePass sırlarını toplayarak ve muhtemelen kaba kuvvet yoluyla, ellerinden geldiğince çok sayıda kimlik bilgisinden ödün vermek için ortak bir çaba harcıyorlar.
- Etki alanı denetleyicileri de dahil olmak üzere ek uç noktalara ve sunuculara “taşınmak” için Cobalt Strike’ı (ve güvenliği ihlal edilmiş kimlik bilgilerini) kullanıyorlar
- Uç nokta güvenlik çözümlerine müdahale ediyorlar, verilere sızmak için Rclone aracını kullanıyorlar ve planlanmış görevler ve Grup İlkesi Nesnesi (GPO) politikaları aracılığıyla Ambargo fidye yazılımını dağıtıyorlar.
Bulut ortamlarına erişim kazanma
Ancak grup, hedefin bulut ortamına erişmek için Microsoft Entra ID (eski adıyla Azure AD) kimlik bilgilerinden de yararlanmaya başladı.
Bunu, Microsoft Entra Connect Sync hesaplarının güvenliğini tehlikeye atarak (sunucunun diskinden veya uzak SQL sunucusundan çalarak) veya bulutta ilgili bir kullanıcı hesabına sahip olan şirket içi bir kullanıcı hesabını (örn. Microsoft Entra ID) ele geçirerek yaparlar.
Microsoft, “Microsoft Entra Connect Sync, şirket içi ortamlar ile Microsoft Entra ID arasında kimlik verilerini senkronize eden bir Microsoft Entra Connect bileşenidir” diye açıkladı.
“Son Storm-0501 kampanyasında, tehdit aktörünün özellikle Microsoft Entra Connect Sync sunucularını tespit ettiğini ve Microsoft Entra Connect bulut ve şirket içi senkronizasyon hesaplarının düz metin kimlik bilgilerini çıkarmayı başardığını büyük bir güvenle değerlendirebiliriz. Microsoft Entra Connect Sync hesabının ele geçirilmesi, tehdit aktörünün herhangi bir karma hesabın (Microsoft Entra ID ile senkronize edilen şirket içi hesap) Microsoft Entra ID parolalarını belirlemesine veya değiştirmesine olanak verebileceğinden hedef için yüksek risk oluşturur. ”
İkinci yaklaşım olan Microsoft Entra ID’de ilgili bir kullanıcı hesabına sahip bir Etki Alanı Yöneticisi kullanıcı hesabının ele geçirilmesi de mümkündür.
Microsoft, “İncelediğimiz bazı Storm-0501 vakalarında, ele geçirilen Etki Alanı Yöneticisi hesaplarından en az birinin Microsoft Entra ID’de ilgili bir hesabı vardı, çok faktörlü kimlik doğrulaması (MFA) devre dışıydı ve Genel Yönetici rolü atanmış durumdaydı.” Tehdit analistleri paylaştı.
Yukarıda belirtilen senkronizasyon hizmeti, Microsoft Entra’daki yönetim hesapları için mevcut olmasa da, “her iki hesabın parolaları aynıysa veya şirket içi kimlik bilgileri hırsızlığı teknikleriyle (yani web tarayıcılarının parola deposu) elde edilebiliyorsa, o zaman pivot mümkündür.”
Bu hesaplarda MFA’nın etkinleştirilmesi saldırganları engellese de, saldırganın “MFA’yı kurcalaması veya kullanıcının sahip olduğu bir cihazın kontrolünü ele geçirmesi ve ardından bulut oturumunu ele geçirmesi veya Microsoft Entra erişim belirteçlerini birlikte alması durumunda, uzlaşma olasılığı hala mevcuttur” MFA iddialarıyla.”
Storm-0501, içeri girdikten sonra kiracıda yeni bir birleşik etki alanı oluşturarak kalıcı bir arka kapı oluşturmak için bu erişimi kullandı.
“Bir arka kapı alanı kullanıma hazır olduğunda, tehdit aktörü, güvenliği ihlal edilen kiracı ile kendi kiracısı arasında bir federasyon güveni oluşturur. Tehdit aktörü, kuruluştaki herhangi bir kullanıcının kimliğine bürünmek ve herhangi bir uygulamada oturum açmak için MFA’yı atlamak için kullanılabilen Güvenlik Onayı Biçimlendirme Dili (SAML veya SAML2) belirteçlerinin oluşturulmasına olanak tanıyan AADInternals komutlarını kullanır. Tehdit analistleri, “Microsoft, SAML belirteci kullanan aktörün Office 365’te oturum açtığını gözlemledi” sonucuna vardı ve azaltma ve koruma rehberliği, gözaltılar, arama sorguları ve güvenlik ihlali göstergeleri sağladı.