باج افزار Embargo، دامنه حملات خود را به محیط‌های ابری گسترش داد!

مایکروسافت اخیرا مشاهده کرده است که تهدید کننده‌ای به نام Storm-0501 توسط باج افزار EMBARGO، مشغول انجام یک حمله چند مرحله‌ای می‌باشد که در آن با نفوذ به محیط‌های ابری هیبریدی در حال حرکت جانبی از محیط داخلی به محیط ابری است.

این حمله منجر به استخراج داده‌، سرقت رمزهای عبور و داده‌های لاگین، تغییر و دستکاری، ایجاد بکدور و دسترسی مداوم به آن، و استقرار باج افزار می‌شود. حمله گروه Storm-0501، چندین بخش دولتی، تولیدی، حمل و نقل و اجرای قانون را در ایالات متحده مورد هدف قرار داده است.

Storm-0501 یک گروه جرایم سایبری با انگیزه مالی است که از ابزارهای منبع باز برای انجام عملیات باج افزاری استفاده می‌کند.

باج افزار EMBARGO نیز، نوعی بدافزار است که فایل‌های دستگاه آلوده را رمزگذاری و یک پسوند تصادفی به نام فایل‌ها اضافه می کند و یک یادداشت اخاذی “HOW_TO_RECOVER_FILES.txt” را نیز بر روی دسکتاپ قرار میدهد.

گروه باج افزار Embargo از بدافزار مبتنی بر Rust برای اجرای عملیات باج ‌افزار به‌ عنوان یک سرویس (RaaS) خود استفاده می‌کند و در ماه می سال جاری، نام سه قربانی را در سایت خود منتشر کرد.

نغییر استراتژی و تاکتیک‌های گروه Storm-0501 و تمایل آنها بر محیط‌های ابری هیبریدی، حاکی از آن است که این گروه میخواهد بر روی تمام دارایی‌های قربانیان متمرکز شود.

Storm-0501 برای اولین بار در سال 2021 به عنوان یک شرکت وابسته به باج افزار برای عملیات باج افزار Sabbath ظاهر شد و سپس شروع به استقرار بدافزارهای رمزگذاری فایل از گروه‌های Hive، BlackCat، LockBit و Hunters International کرد. اما اخیراً مشاهده شده است که آنها باج افزار Embargo را در حملات خود مستقر می‌کنند.

جریان حمله Storm-0501

هکرها با سوء استفاده از داده‌های لاگین ضعیف و حساب‌های دارای سطح دسترسی بالا، با هدف سرقت داده‌ها و اجرای یک پیلود باج افزار، به محیط‌های ابری دسترسی پیدا می‌کنند.

Storm-0501 دسترسی اولیه به شبکه را توسط داده‌های لاگین ربوده شده یا خریداری شده و یا با سوء استفاده از آسیب‌ پذیری‌های شناخته شده به دست می‌آورد.

برخی از آسیب‌ پذیری‌های مورد استفاده در حملات اخیر عبارتند از CVE-2022-47966 (Zoho ManageEngine)، CVE-2023-4966 (Citrix NetScaler) و احتمالا CVE-2023-29300  یا CVE-2023-38203 (ColdFusion 2016).

هکرها به صورت جانبی و با استفاده از فریمورک‌هایی مانند Impacket و Cobalt Strike در شبکه حرکت می‌کنند، داده‌ها را از طریق یک باینری سفارشی به نام Rclone می‌ربایند و مکانیزم‌های امنیتی دستگاه قربانی را توسط cmdlet‌های PowerShell غیرفعال می‌کنند.

Storm-0501 با استفاده از Microsoft Entra IDهای ربوده شده (Azure AD سابق)، از محیط داخلی به محیط‌های ابری منتقل می‌شود و حساب‌های همگام سازی را به خطر انداخته و نشست‌ها را به منظور تداوم دسترسی می‌رباید.

حساب‌های Microsoft Entra Connect Sync برای همگام‌سازی داده‌ها بین Active Directory (AD) و Microsoft Entra ID مبتنی بر ابر بسیار مهم هستند و معمولاً طیف گسترده‌ای از اقدامات حساس را مُجاز می‌کنند.

چنانچه هکرها گواهی‌های اعتبار حساب همگام سازی اکتیو دایرکتوری را داشته باشند، آنگاه می‌توانند از ابزارهای تخصصی مانند AADInternals برای تغییر گذرواژه‌های ابری استفاده کنند و محافظت‌های اضافی را دور بزنند.

اگر یک admin دامنه یا سایر حساب‌های داخلی دارای سطح دسترسی بالا نیز در محیط ابری وجود داشته باشد و فاقد محافظت‌های مناسب (مانند احراز هویت چند عاملی) باشد، ممکن است Storm-0501 از همان داده‌ها برای دسترسی مجدد به ابر استفاده کند.

هکرها پس از دسترسی به زیرساخت ابری، یک بکدور دائمی ایجاد می‌کنند که به آن‌ها اجازه می‌دهد تا به عنوان هر کاربری که ویژگی “Immutableid” برای آن شناخته شده یا تنظیم شده است، احراز هویت شوند.

هکرها در مرحله آخر، باج ‌افزار Embargo را در محیط‌های داخلی و ابری قربانی مستقر می‌کنند و یا دسترسی به بکدور را برای مدتی حفظ خواهند کرد.

در واقع هنگامی که هکرها به کنترل کافی بر روی شبکه قربانی دست یافتند، فایل‌های حساس را با موفقیت استخراج می‌کنند و به صورت جانبی به محیط ابری منتقل می‌شوند و سپس باج افزار Embargo را در سراسر شبکه سازمان مستقر می‌کنند.

به گفته مایکروسافت،  Storm-0501 همیشه به توزیع باج افزار متوسل نمی‌شود و در برخی موارد فقط دسترسی بکدور به شبکه را حفظ می‌کند.

پیلود باج ‌افزار با استفاده از اکانت‌های هک شده مانند Admin دامنه، از طریق تسک‌های زمان‌بندی‌شده یا GPOها (Group Policy Objects) برای رمزگذاری فایل‌ها در دستگاه‌های سازمان مستقر می‌شود.