Olarak bilinen finansal olarak motive olmuş tehdit aktörü Storm-0501 bulut ortamlarını hedefleyen veri açığa çıkma ve gasp saldırıları yapmak için taktiklerinin geliştirilmesi gözlemlenmiştir.
Microsoft Tehdit İstihbarat ekibi, bilgisayar korsanı haberleriyle paylaşılan bir raporda, “Tehdit oyuncusu, tehdit oyuncusunun tipik olarak kötü amaçlı yazılımları, tehlikeye atılan ağ içindeki uç noktalardaki kritik dosyaları şifrelemek için dağıttığı ve daha sonra bir şifre çözme anahtarı için müzakere ettiğini, ancak bulut tabanlı fidye yazılımının temel bir değişim getirdiğini söyledi.
“Bulut-doğal yeteneklerden yararlanan Storm-0501, büyük miktarlarda büyük miktarda veri ekler, mağdur ortamındaki verileri ve yedeklemeleri yok eder ve fidye talep eder-hepsi geleneksel kötü amaçlı yazılım dağıtımına güvenmeden.”
Storm-0501 ilk olarak Microsoft tarafından neredeyse bir yıl önce belgelendi ve ABD’deki hükümet, üretim, ulaşım ve kolluk sektörlerini hedefleyen hibrid bulut fidye yazılımı saldırılarını detaylandırdı ve tehdit aktörleri, daha sonraki veri yayma, kimlik yazılımı ve fidye konuşlandırması için şirket içi buluta döndü.
2021’den bu yana aktif olduğu değerlendirilen hack grubu, Sabbath, Hive, Blackcat (ALPHV), Hunters International, Lockbit ve Embargo gibi yıllar boyunca çeşitli fidye yazılımı yükleri sağlayan bir Hizmet Olarak Fidye Yazılımı (RAAS) bağlı kuruluşuna dönüştü.
Şirket, “Storm-0501, şirket içi ve bulut ortamları arasında hareket etme konusunda yeterlilik göstermeye devam ederek, tehdit aktörlerinin hibrid bulutun benimsenmesi arttıkça nasıl uyum sağladığını örneklendirdi.” Dedi. Diyerek şöyle devam etti: “Hibrit bulut ortamlarında yönetilmeyen cihazları ve güvenlik boşluklarını avlıyorlar ve bulut ayrıcalıklarını artırmak ve bazı durumlarda hedeflerine ulaşmak için çok kiracılı kurulumlardaki kiracıları geçiyorlar.”
Tipik saldırı zincirleri, bir etki alanı yöneticisine ayrıcalık artışı elde etmek için ilk erişimlerini kötüye kullanan tehdit oyuncusunu, ardından saldırganların hedefin bulut ortamını ihlal etmesine izin veren, böylece kalıcılık, ayrıcalık artışı, veri ekleme, şifreleme ve güçlendirme içeren çok aşamalı bir sırayı başlatan keşif adımlarını içerir.
Microsoft’a göre ilk erişim, Storm-0249 ve Storm-0900 gibi erişim brokerleri tarafından kolaylaştırılan müdahalelerle elde edilir, çalınan, hedef sistemde oturum açmak için tehlikeye atılan kimlik bilgilerinden yararlanır veya kamuoyu yüzlü sunucularda bilinen çeşitli uzak kod yürütme kırılganlıklarından yararlanır.
Birden fazla bağlı ortaklık ile isimsiz büyük bir işletmeyi hedefleyen yeni bir kampanyada, Storm-0501’in kötü-kazanç kullanarak ağ boyunca yanal olarak hareket etmeden önce keşif yaptığı söyleniyor. Saldırganlar ayrıca, bir alan denetleyicisinin davranışını simüle ederek Active Directory’den kimlik bilgilerini çıkarmak için DCSYNC saldırısı olarak adlandırılanları gerçekleştirdi.
Microsoft, “Active Directory ortamında dayanaklarından yararlanarak, Active Directory etki alanları arasında geçtiler ve sonunda farklı bir Entra Kimlik Kiracı ve Active Directory etki alanıyla ilişkili ikinci bir Entra Connect sunucusunu tehlikeye atmak için yanal olarak hareket ettiler.” Dedi.
“Tehdit oyuncusu, keşif sürecini tekrarlamak için dizin senkronizasyon hesabını çıkardı, bu sefer ikinci kiracıdaki kimlikleri ve kaynakları hedef aldı.”
Bu çabalar sonuçta Storm-0501’in insan olmayan bir kimliği, bu kiracı üzerindeki Microsoft Entra kimliğinde küresel bir yönetici rolü ile tanımlamasını ve çok faktörlü kimlik doğrulama (MFA) korumalarında eksik olanı sağlamıştır. Bu daha sonra, saldırganların kullanıcının şirket içi şifresini sıfırladığı bir senaryoya kapıyı açtı ve entra Connect Sync hizmetini kullanarak o kullanıcının bulut kimliğine senkronize edilmesine neden oldu.
Meyveden çıkarılan küresel yönetici hesabı ile donanmış olan dijital davetsiz misafirlerin Azure portalına eriştikleri, bir arka kapı oluşturmak için bir tehdit aktöre ait Entra ID kiracısını kaydettikleri ve daha sonra veri söndürme ve forma için zemin hazırlamadan önce kritik Azure kaynaklarına erişimlerini yükselttikleri bulunmuştur.
Microsoft, “Eksfiltrasyon aşamasını tamamladıktan sonra, Storm-0501, kurban organizasyonu verilerini içeren masmavi kaynakların kitleliğini başlattı ve kurbanın verileri geri yükleyerek iyileştirme ve azaltma eylemi almasını önledi.” Dedi.
Diyerek şöyle devam etti: “Azure ortamı içindeki verileri başarıyla soktu ve yok ettikten sonra, tehdit oyuncusu gasp aşamasını başlattı ve burada daha önce uzlaşmış kullanıcılardan birini kullanarak Microsoft ekiplerini kullanarak kurbanlarla temasa geçti ve fidye talep etti.”
Şirket, Microsoft Entra kimliğinde tehdit aktörlerinin ayrıcalıkları artıracak dizin senkronizasyon hesaplarını kötüye kullanmasını engelleyen bir değişiklik yaptığını söyledi. Ayrıca, müşterilerin gelişmiş güvenlik için uygulama tabanlı kimlik doğrulaması yapılandırmasına izin vermek için modern kimlik doğrulamasını desteklemek için Microsoft Entra Connect (sürüm 2.5.3.0) güncellemeleri yayınladı.
Tech Giant, “Fırtına-0501’in kimlik bilgileri çıkarma tekniklerini hafifleterek, hassas kimlik bilgilerini ve şifreleme anahtarlarını güvenli bir şekilde depolamak için Entra Connect Sync sunucusunda Güvenilir Platform Modülünü (TPM) etkinleştirmek de önemlidir.”