Microsoftは、ランサムウェアの脅威行為者であるStorm-0501が最近戦術を切り替え、ハイブリッドクラウド環境を標的とし、被害者のすべての資産を侵害する戦略を拡大していると警告している。
この脅威行為者は、2021年にSabbathランサムウェア作戦のランサムウェア関連会社として初めて登場しました。その後、彼らはHive、BlackCat、LockBit、およびHunters Internationalギャングのファイル暗号化マルウェアを展開し始めた。最近では、Embargoランサムウェアの展開が確認されている。
Storm-0501の最近の攻撃は、米国の病院、政府機関、製造業、輸送機関、法執行機関を標的としていました。
Storm-0501の攻撃の流れ
攻撃者は、脆弱な認証情報を悪用し、特権アカウントを利用してクラウド環境にアクセスし、データを盗んでランサムウェアのペイロードを実行することを目的としています。
マイクロソフトの説明によると、Storm-0501は、盗んだり購入したりした認証情報、または既知の脆弱性を悪用してネットワークへの初期アクセスを取得する。
最近の攻撃で使用されている脆弱性には、CVE-2022-47966(Zoho ManageEngine)、CVE-2023-4966(Citrix NetScaler)、そしておそらくCVE-2023-29300またはCVE-2023-38203(ColdFusion 2016)があります。
敵は、Impacket や Cobalt Strike などのフレームワークを使用して横方向に移動し、Windows ツールを模倣するように名前を変更したカスタム Rclone バイナリを通じてデータを盗み、PowerShell コマンドレットを使用してセキュリティエージェントを無効にします。
Storm-0501は、盗まれたMicrosoft Entra ID(旧Azure AD)の認証情報を活用することで、オンプレミス環境からクラウド環境に移動し、同期アカウントを侵害し、セッションを乗っ取って永続化します。
Microsoft Entra Connect Syncアカウントは、オンプレミスのActive Directory(AD)とクラウドベースのMicrosoft Entra IDの間でデータを同期するために重要であり、通常、機密性の高いアクションを幅広く許可します。
攻撃者がDirectory Synchronization Accountの認証情報を所有している場合、AADInternalsのような特別なツールを使用してクラウドのパスワードを変更し、追加の保護をバイパスすることができます。
ドメイン管理者やその他のオンプレミスの高い権限を持つアカウントがクラウド環境にも存在し、適切な保護(多要素認証など)がない場合、Storm-0501は同じ認証情報を使用して再びクラウドにアクセスする可能性があります。
クラウド インフラストラクチャにアクセスした後、攻撃者は Microsoft Entra テナント内に新しい連携ドメインを作成することで、永続的なバックドアを仕込みます。
最終段階では、攻撃者は被害者のオンプレミス環境とクラウド環境にEmbargoランサムウェアを展開するか、後日のためにバックドアアクセスを維持します。
「脅威者がネットワークを十分に制御し、機密ファイルの抽出に成功し、クラウド環境への横移動に成功すると、脅威者は次にEmbargoランサムウェアを組織全体に展開しました。
マイクロソフトは、「私たちは、脅威行為者が常にランサムウェアの配布に頼るわけではなく、ネットワークへのバックドア・アクセスのみを維持するケースもあることを確認しました」と述べています。
ランサムウェアのペイロードは、スケジュールされたタスクやグループポリシーオブジェクト(GPO)を介して、ドメイン管理者のような侵害されたアカウントを使用して展開され、組織のデバイス全体のファイルを暗号化します。
Embargoランサムウェアの活動
Embargo脅威グループは、Rustベースのマルウェアを使用してランサムウェア・アズ・ア・サービス(RaaS)を実行し、企業に侵入してペイロードを展開し、利益の一部を開発者と共有するアフィリエイトを受け入れています。
2024年8月、Embargoランサムウェアの関連会社がアメリカ無線中継連盟(ARRL)を攻撃し、動作する復号化と引き換えに100万ドルを受け取った。
今年に入り5月には、Embargoの関連会社がオーストラリア最大級の住宅ローン融資・投資管理会社であるFirstmac Limitedに侵入し、解決策を交渉する期限を迎えた際に盗まれた500GBの機密データを流出させた。
Comments