مایکروسافت هشدار داد که عامل تهدید باجافزار Storm-0501 اخیراً تاکتیکهای خود را تغییر داده و محیطهای ابری هیبریدی را هدف قرار داده و استراتژی خود را برای به خطر انداختن تمام داراییهای قربانیان گسترش داده است.
حملات اخیر Storm-0501 بیمارستانها، سازمانهای دولتی، تولیدی و حمل و نقل و سازمانهای مجری قانون در ایالات متحده را هدف قرار دادند که با استقرارا باجافزار Embargo همراه بوده است. مایکروسافت تصریح کرد که Storm-0501 دسترسی اولیه به شبکه را با اطلاعات ورود Microsoft Entra ID (Azure AD سابق) سرقت یا خریداری شده یا با اکسپلویت آسیبپذیریهای شناخته شده از جمله شناسههای CVE-2022-47966 (Zoho ManageEngine)، CVE-2023-4966 (Citrix NetScaler)، CVE-2023-29300 و CVE-2023-38203 (ColdFusion) به دست میآورد.
مایکروسافت گفت که کمپین حمله چند مرحلهای برای به خطر انداختن محیطهای ابری هیبریدی و انجام حرکت جانبی از محیط داخلی به محیط ابری طراحی شده است که در نهایت منجر به استخراج دادهها، سرقت اعتبار، دستکاری، دسترسی مداوم به درب پشتی و استقرار باجافزار میشود. نفوذگر با استفاده از چارچوبهایی مانند Impacket و Cobalt Strike، دادهها را از طریق باینری سفارشی Rclone که برای تقلید از ابزار ویندوز تغییر نام داده سرقت میکند و عوامل امنیتی را با cmdletهای PowerShell غیرفعال میسازد. بر اساس مشاهدات عامل تهدید همیشه به توزیع باجافزار متوسل نمیشود و در برخی موارد صرفا دسترسی درب پشتی به شبکه را حفظ میکند.
https://www.bleepingcomputer.com/news/security/embargo-ransomware-escalates-attacks-to-cloud-environments/
https://thehackernews.com/2024/09/microsoft-identifies-storm-0501-as.html
