Киберпреступная группа Storm-0501, известная своими атаками с использованием программ-вымогателей, кардинально меняет тактику. По данным экспертов Microsoft, угроза сместила фокус с традиционного вредоносного ПО для локальных систем на изощренные облачные методы, что представляет новую серьезную опасность для организаций с гибридной инфраструктурой. Обновленная стратегия позволяет злоумышленникам быстро похищать огромные объемы данных, уничтожать резервные копии прямо в среде жертвы и выдвигать требования о выкупе, практически не полагаясь на классическое вредоносное ПО.
Описание
Группа Storm-0501, активная с 2021 года, изначально специализировалась на атаках на школьные округа в США с помощью вымогателя Sabbath. Со временем она превратилась в аффилиата модели Ransomware-as-a-Service (RaaS), развертывая различные нагрузки для вымогательства, включая Hive, BlackCat (ALPHV) и LockBit. Однако в недавней кампании, затронувшей государственный сектор, производство, транспорт и правоохранительные органы США, группа продемонстрировала эволюцию своих методов.
Атака начинается с компрометации локальной инфраструктуры. Злоумышленники получают первоначальный доступ, эксплуатируя известные уязвимости в публичных серверах, такие как CVE-2022-47966 в Zoho ManageEngine или CVE-2023-4966 в Citrix NetScaler. После этого они проводят глубокую разведку с помощью нативных инструментов Windows и открытых утилит вроде ADRecon.ps1. Для поддержания устойчивого доступа Storm-0501 использует инструменты удаленного управления, например, AnyDesk.
Ключевой этап - кража учетных данных. Используя привилегии администратора, группа с помощью модуля Impacket SecretsDump извлекает учетные данные из памяти, повторяя процесс на множестве устройств. Это позволяет им захватить учетные записи доменных администраторов. Для перемещения по сети злоумышленники активно применяют фреймворк Cobalt Strike, а для вывода данных - переименованные бинарники инструмента Rclone, которые загружают информацию в публичные облачные хранилища.
Новым и наиболее опасным вектором атаки стал переход из локальной среды в облако. Storm-0501 использует украденные учетные данные, в частности, для службы Microsoft Entra Connect Sync (ранее Azure AD Connect). Эта служба синхронизирует данные между локальной Active Directory и облачным Microsoft Entra ID. Скомпрометировав учетные записи синхронизации, злоумышленники получают возможность изменять пароли любой гибридной учетной записи в Microsoft Entra ID, что открывает доступ к облачным ресурсам.
Другой метод - перехват облачной сессии локального пользователя. Если учетная запись доменного администратора имеет соответствующую запись в облаке с отключенной многофакторной аутентификацией (MFA), Storm-0501 может использовать одинаковые или сброшенные пароли для входа. Отсутствие MFA или политик условного доступа значительно упрощает этот переход.
Получив в облаке права глобального администратора, группа создает скрытую лазейку для постоянного доступа. С помощью открытого инструмента AADInternals злоумышленники настраивают в арендаторе жертвы федеративный домен, который позволяет им входить под любым пользователем, обходя MFA. Эта лазейка обеспечивает долгосрочный контроль над облачной средой.
Финальный этап атаки - развертывание программы-вымогателя на локальных системах. В этой кампании Storm-0501 использовала новый нагрузку Embargo, написанную на Rust. Вымогатель распространялся через скомпрометированные учетные записи доменных администраторов с помощью групповых политик, шифруя файлы и меняя их расширения. Группа применяет тактику двойного шантажа, угрожая опубликовать похищенные данные, если выкуп не будет уплачен.
Эксперты Microsoft подчеркивают, что Storm-0501 является очередной угрозой, которая использует слабые учетные данные и избыточные привилегии для перехода из локальных сетей в облако. Ранее подобные методы наблюдались у групп Octo Tempest и Manatee Tempest. Распространение гибридных сред делает безопасность на стыке платформ критически важной. Для защиты специалисты рекомендуют обязательное использование многофакторной аутентификации для всех привилегированных учетных записей, регулярное обновление ПО для закрытия известных уязвимостей, строгое следование принципу наименьших привилегий и мониторинг активности служб синхронизации вроде Microsoft Entra Connect. Эти меры могут помочь организациям противостоять новым сложным атакам, сочетающим локальное и облачное воздействие.
Индикаторы компрометации
SHA256
- 53e2dec3e16a0ff000a8c8c279eeeca8b4437edb8ec8462bfbd9f64ded8072d9
- 827f7178802b2e92988d7cff349648f334bc86317b0b628f4bb9264285fccf5f
- a9aeb861817f3e4e74134622cbe298909e28d0fcc1e72f179a32adc637293a40
- c08dd490860b54ae20fa9090274da9ffa1ba163f00d1e462e913cf8c68c11ac1
- caa21a8f13a0b77ff5808ad7725ff3af9b74ce5b67426c84538b8fa43820a031
- d065623a7d943c6e5a20ca9667aa3c41e639e153600e26ca0af5d7c643384670
- d37dc37fdcebbe0d265b8afad24198998ae8c3b2c6603a9258200ea8a1bd7b4a
- de09ec092b11a1396613846f6b082e1e1ee16ea270c895ec6e4f553a13716304
- ee80f3e3ad43a283cbc83992e235e4c1b03ff3437c880be02ab1d15d92a8348a
- efb2f6452d7b0a63f6f2f4d8db49433259249df598391dd79f64df1ee3880a8d