Компания Microsoft обнаружила, что киберпреступная группировка под ником Storm-0501 провела сложную атаку на гибридные облачные среды, используя латеральное перемещение и причинив страшный ущерб различным секторам экономики США. Storm-0501 - финансово мотивированная группировка, которая оперирует с вымогательским ПО и инструментами с открытым исходным кодом.
Storm-0501 APT
Группировка проявляла активность с 2021 года и в основном занималась вымогательством данных, развертывая различные виды вымогательского ПО, такие как Sabbath и Embargo ransomware. Они также были замечены в атаках на школьные округа и больницы в США. Storm-0501 использовал уязвимости в различных программных продуктах, чтобы получить доступ к целевым системам. Они также использовали общие инструменты и команды Windows для сбора информации и разведки целей.
После получения доступа на скомпрометированном устройстве, злоумышленники использовали удаленные инструменты мониторинга и управления для поддержания постоянного доступа. Они также активно искали учетные данные, украденные с других устройств в сети, и использовали их для получения привилегированного доступа к облачным средам. Затем они развертывали вымогательское ПО и создавали черные ходы в локальной и облачной среде.
Indicators of Compromise
SHA256
- 53e2dec3e16a0ff000a8c8c279eeeca8b4437edb8ec8462bfbd9f64ded8072d9
- 827f7178802b2e92988d7cff349648f334bc86317b0b628f4bb9264285fccf5f
- a9aeb861817f3e4e74134622cbe298909e28d0fcc1e72f179a32adc637293a40
- c08dd490860b54ae20fa9090274da9ffa1ba163f00d1e462e913cf8c68c11ac1
- caa21a8f13a0b77ff5808ad7725ff3af9b74ce5b67426c84538b8fa43820a031
- d065623a7d943c6e5a20ca9667aa3c41e639e153600e26ca0af5d7c643384670
- d37dc37fdcebbe0d265b8afad24198998ae8c3b2c6603a9258200ea8a1bd7b4a
- de09ec092b11a1396613846f6b082e1e1ee16ea270c895ec6e4f553a13716304
- ee80f3e3ad43a283cbc83992e235e4c1b03ff3437c880be02ab1d15d92a8348a
- efb2f6452d7b0a63f6f2f4d8db49433259249df598391dd79f64df1ee3880a8d
