Компания Microsoft предупредила о том, что группировка хакеров Storm-0501 изменила свою тактику и теперь нацелена на гибридные облачные среды. Впервые эта группа была замечена в 2021 году, когда она сотрудничала с шифровальщиком Sabbath. С тех пор Storm-0501 стала распространять другие виды вымогательского ПО, работая с такими группировками, как Hive, BlackCat, LockBit и Hunters International.
Теперь специалисты Microsoft обнаружили, что Storm-0501 использует вымогатель Embargo, написанный на языке Rust, для атак на системы жертв. Последние атаки этой группировки были направлены на больницы, правительственные учреждения, производственные и логистические компании, а также правоохранительные органы США.
Хакеры получают доступ к облачным средам жертв, используя слабые учётные данные и известные уязвимости, а затем применяют привилегированные учётные записи для кражи данных и развёртывания вымогательской нагрузки. Microsoft сообщает, что Storm-0501 часто приобретает скомпрометированные учётные данные в даркнете или использует известные уязвимости, такие как CVE-2022-47966, CVE-2023-4966 и CVE-2023-29300, CVE-2023-38203.
Для перемещения между локальными и облачными средами Storm-0501 использует фреймворки Impacket и Cobalt Strike, отключает защитные механизмы с помощью PowerShell и похищает данные с помощью кастомного бинарника Rclone, имитирующего легитимные инструменты Windows.
Общая схема атаки включает использование украденных учётных данных Microsoft Entra ID (ранее Azure AD) для перемещения из локальной среды в облачную, компрометацию аккаунтов синхронизации и перехвата сеансов для закрепления в системе. Если администратор домена или другая учётная запись с высокими привилегиями в локальной среде также существует в облаке без должной защиты, хакеры могут использовать те же учётные данные для доступа к облаку.
После получения доступа к облачной инфраструктуре злоумышленники устанавливают постоянный бэкдор, создавая новый федеративный домен в рамках тенанта Microsoft Entra, что позволяет им аутентифицироваться под видом любого пользователя, для которого известно или установлено свойство Immutableid. На последнем этапе атаки хакеры либо развёртывают шифровальщик Embargo в локальных и облачных средах жертв, либо сохраняют полученный бэкдор-доступ на будущее.