ストーム-0501 脅威アクター
Storm-0501 として知られるサイバー犯罪グループは、米国内の政府、製造、運輸、法執行機関などの分野に特に重点を置き、ランサムウェア攻撃を実行しています。彼らの多段階の攻撃は、ハイブリッド クラウド環境に侵入し、オンプレミス システムからクラウド インフラストラクチャへの横方向の移動を容易にすることを目的としています。この戦略は最終的に、データの流出、認証情報の盗難、改ざん、永続的なバックドア アクセス、ランサムウェアの展開など、さまざまな悪意のある結果につながります。
目次
ストーム-0501の進化
Storm-0501 は、金銭目的を活動の中心に据え、商用ツールとオープンソースツールの両方を利用してランサムウェア攻撃を遂行しています。2021 年から活動しているこのグループは、当初 Sabbath (54bb47h) ランサムウェアを使用して教育機関を標的にしていました。時が経つにつれ、Ransomware-as-a-Service (RaaS) モデルに移行し、さまざまなランサムウェア ペイロードを提供しています。現在、彼らのレパートリーには、Hive、 BlackCat (ALPHV)、 Hunters International 、 LockBit 、 Embargo Ransomwareなど、さまざまな悪名高いランサムウェアが含まれています。
Storm-0501 が利用した初期攻撃ベクトル
Storm-0501 の活動の重要な特徴の 1 つは、脆弱な認証情報と過剰な権限を持つアカウントを悪用し、組織のオンプレミス システムからクラウド インフラストラクチャにシームレスに移行できることです。
さらに、Storm-0249 や Storm-0900 などのアクセス ブローカーによって確立された足場を利用するなど、さまざまな初期アクセス方法を採用しています。また、パッチが適用されていないインターネット接続サーバーを標的とし、Zoho ManageEngine、Citrix NetScaler、Adobe ColdFusion 2016 などのプラットフォームの既知のリモート コード実行の脆弱性を悪用します。
これらの方法のいずれかを利用することで、Storm-0501 は広範囲にわたる偵察を行う機会を得て、高価値資産の特定、ドメイン情報の収集、Active Directory の調査を行うことができます。このフェーズには通常、継続的なアクセスと持続性を確保するためにリモート監視および管理ツール (RMM) がインストールされます。
ストーム-0501による特権の搾取
脅威アクターは、初期アクセス段階で侵害されたローカルデバイスから取得した管理者権限を活用し、さまざまな方法でネットワーク内での活動範囲を拡大しようとしました。主に、ネットワーク経由で認証情報を抽出しやすくする Impacket の SecretsDump モジュールを使用し、さまざまなデバイスでそれを活用して貴重なログイン情報を収集しました。
侵害された認証情報を入手した脅威アクターは、それを使用して他のデバイスに侵入し、より多くの認証情報を抽出しました。このプロセス中に、攻撃者は機密ファイルにアクセスして KeePass の秘密を取得し、ブルートフォース攻撃を実行して標的のアカウントの認証情報を取得しました。
横方向の移動とデータの流出
研究者は、Storm-0501 がネットワーク内での横方向の移動にCobalt Strikeを使用し、盗んだ資格情報を使用して後続のコマンドを実行しているのを観察しました。オンプレミス環境からのデータ流出には、Rclone を使用して機密データを MegaSync パブリック クラウド ストレージ サービスに転送しました。
さらに、この脅威アクターは、クラウド環境への永続的なバックドア アクセスを確立し、オンプレミス システムにランサムウェアを展開することで知られています。これは、Octo Tempest や Manatee Tempest などのグループに続いて、ハイブリッド クラウド セットアップに重点を置く最新の脅威アクターであることを示しています。
クラウドをターゲットにする
脅威アクターは、収集した資格情報、特に Microsoft Entra ID (旧 Azure AD) の資格情報を利用して、オンプレミス システムからクラウド環境への横方向の移動を容易にし、ターゲット ネットワークへの継続的なアクセスのための永続的なバックドアを確立しました。
このクラウドへの移行は、通常、侵害された Microsoft Entra Connect Sync ユーザー アカウントを通じて、または特に多要素認証 (MFA) が無効になっている場合は、クラウド内に管理者アカウントを持つオンプレミス ユーザー アカウントのセッションをハイジャックすることによって実現されます。
Embargo ランサムウェアの展開
攻撃者がネットワークを十分に制御し、目的のファイルを盗み出すことに成功すると、攻撃は被害者組織全体に Embargo ランサムウェアを展開することで完了します。Rust ベースのランサムウェアの亜種である Embargo は、2024 年 5 月に初めて特定されました。
エンバーゴの背後にいるグループは、ランサムウェア・アズ・ア・サービス (RaaS) モデルで活動しており、身代金の一部と引き換えに、ストーム 0501 などの関連会社がプラットフォームを利用して攻撃を開始することを許可しています。エンバーゴの関連会社は、被害者のファイルを暗号化すると同時に、身代金を支払わなければ収集した機密データを公開すると脅迫する二重の脅迫戦術を採用しています。