Компанія Microsoft попередила, що здирницьке угруповання Storm-0501 нещодавно змінило тактику і тепер атакує гібридні хмарні середовища.

Уперше цих зловмисників було виявлено 2021 року, і тоді вони були «партнерам» шифрувальника Sabbath. Пізніше хакери почали поширювати й іншу здирницьку малварь, співпрацюючи з такими угрупованнями, як Hive, BlackCat, LockBit і Hunters International. Тепер же фахівці Microsoft помітили, що Storm-0501 розгортає в системах жертв написаний на Rust вимагач Embargo.

Останні атаки Storm-0501 були спрямовані на лікарні, урядові установи, виробничі та логістичні організації, а також правоохоронні органи США.

Дослідники пишуть, що атакуючі отримують доступ до хмарних середовищ жертв, експлуатуючи слабкі облікові дані та відомі вразливості, а потім користуються привілейованими обліковими записами. Хакери викрадають у організацій дані, а потім розгортають здирницьке корисне навантаження.

Microsoft пояснює, що найчастіше Storm-0501 набуває скомпрометовані облікові дані в даркнеті, в інших злочинців або використовує відомі вразливості. Так, серед вразливостей, які використовували в нещодавніх атаках, перераховано: CVE-2022-47966 (Zoho ManageEngine), CVE-2023-4966 (Citrix NetScaler), а також CVE-2023-29300 і CVE-2023-38203 (ColdFusion 2016).

Використовуючи вкрадені облікові дані Microsoft Entra ID (раніше Azure AD), учасники Storm-0501 переміщуються з локального середовища в хмарне, компрометуючи акаунти синхронізації та перехоплюючи сеанси для закріплення в системі.

Облікові записи Microsoft Entra Connect Sync потрібні для синхронізації даних між локальною Active Directory (AD) і хмарною Microsoft Entra ID, і зазвичай вони дають змогу виконувати широкий спектр дій. Так, якщо зловмисники отримують доступ до Directory Synchronization Account, вони можуть використовувати спеціалізовані інструменти (наприклад, AADInternals) для зміни хмарних паролів, тим самим обходячи додаткові засоби захисту.

Якщо адміністратор домену або інший обліковий запис із високими привілеями в локальному середовищі також існує в хмарі, але не має належного захисту (наприклад, багатофакторної автентифікації), хакери можуть використовувати ті самі облікові дані для доступу до хмари.

Після отримання доступу до хмарної інфраструктури зловмисники встановлюють постійний бекдор, створюючи новий федеративний домен у межах тенанта Microsoft Entra, що дає їм змогу аутентифікуватися під виглядом будь-якого користувача, для якого відома або встановлена властивість Immutableid.

На останньому етапі атаки зловмисники або розгортають шифрувальник Embargo в локальних і хмарних середовищах жертв, або приберігають отриманий бекдор-доступ на потім.