Финансово мотивированная группа Storm-0501, активная с 2021 года, разработала новую тактику облачных атак, основанную не на шифровании, а на уничтожении данных. Вместо развертывания вредоносного ПО на локальных машинах, злоумышленники проникают в гибридные облачные среды, перемещаются из локального Active Directory в облако Azure, после чего выгружают данные и полностью удаляют их оригиналы вместе с резервными копиями. Требование выкупа поступает уже после уничтожения инфраструктуры.
Группа Storm-0501 действует как партнер в рамках модели «программа-вымогатель как услуга» (RaaS). Она была замечена в использовании таких вредоносных программ, как Sabbath, Hive, BlackCat (также известная как ALPHV), Hunters International, LockBit и Embargo. Это указывает на их широкую интеграцию в экосистему киберпреступности и доступ к разнообразным инструментам для проведения атак.
Основными целями атак становятся организации в США с гибридной облачной инфраструктурой, где локальные и облачные сервисы тесно связаны. Microsoft зафиксировала атаки на государственный сектор, производственные предприятия, транспортные компании и правоохранительные органы. Один из недавних инцидентов затронул крупное предприятие с множеством дочерних компаний.
Атака начинается с покупки первоначального доступа у брокеров, таких как Storm-0249 и Storm-0900. Эти брокеры получают доступ к сетям жертв, используя украденные учетные данные или эксплуатируя известные уязвимости удаленного выполнения кода на публичных серверах, которые не получили своевременных обновлений безопасности.
После проникновения в локальную сеть злоумышленники используют инструмент Evil-WinRM для горизонтального перемещения между системами. Ключевым этапом на этом шаге является проведение атаки DCSync. Симулируя поведение контроллера домена, они извлекают учетные данные напрямую из Active Directory, что открывает им путь для дальнейшего продвижения.
Далее следует переход из локальной среды в облако. Атакующие компрометируют сервер Entra Connect, связанный с облачным клиентом Entra ID, и извлекают учетные данные служебной записи Directory Synchronization Account. С ее помощью они находят неперсонифицированную синхронизированную учетную запись, обладающую правами глобального администратора в Microsoft Entra ID.
Критическая уязвимость, которую эксплуатирует Storm-0501, заключается в отсутствии многофакторной аутентификации (MFA) для этой учетной записи с высокими привилегиями. Злоумышленники сбрасывают пароль этой учетной записи в локальном Active Directory, и сервис Entra Connect Sync автоматически синхронизирует это изменение с облаком, предоставляя им полный контроль над облачной средой.
Получив доступ к порталу Azure с правами глобального администратора, группа немедленно создает бэкдор. Они регистрируют собственный клиент Entra ID в качестве доверенного федеративного домена. Это обеспечивает им постоянный доступ к ресурсам жертвы, даже если скомпрометированная учетная запись будет заблокирована.
Финальная стадия атаки разворачивается стремительно. Злоумышленники выгружают огромные объемы данных из Azure. Сразу после этого они выполняют массовое удаление облачных ресурсов, включая все рабочие данные и резервные копии, лишая организацию возможности восстановления. Требование о выкупе за украденную информацию направляется жертве через скомпрометированный аккаунт Microsoft Teams одного из сотрудников.
В ответ на эту угрозу команда Microsoft Threat Intelligence внесла изменения в Microsoft Entra ID, чтобы предотвратить злоупотребление учетными записями Directory Synchronization Account для эскалации привилегий. Эти исправления были включены в обновление Microsoft Entra Connect версии 2.5.3.0, которое также добавило поддержку современной аутентификации для более безопасной работы.
Для защиты от подобных атак организациям настоятельно рекомендуется активировать модуль Trusted Platform Module (TPM) на серверах, где работает Entra Connect Sync. Использование TPM обеспечивает безопасное хранение чувствительных учетных данных и криптографических ключей на аппаратном уровне, что значительно усложняет их извлечение с помощью техник, подобных DCSync.
Изображение носит иллюстративный характер
Группа Storm-0501 действует как партнер в рамках модели «программа-вымогатель как услуга» (RaaS). Она была замечена в использовании таких вредоносных программ, как Sabbath, Hive, BlackCat (также известная как ALPHV), Hunters International, LockBit и Embargo. Это указывает на их широкую интеграцию в экосистему киберпреступности и доступ к разнообразным инструментам для проведения атак.
Основными целями атак становятся организации в США с гибридной облачной инфраструктурой, где локальные и облачные сервисы тесно связаны. Microsoft зафиксировала атаки на государственный сектор, производственные предприятия, транспортные компании и правоохранительные органы. Один из недавних инцидентов затронул крупное предприятие с множеством дочерних компаний.
Атака начинается с покупки первоначального доступа у брокеров, таких как Storm-0249 и Storm-0900. Эти брокеры получают доступ к сетям жертв, используя украденные учетные данные или эксплуатируя известные уязвимости удаленного выполнения кода на публичных серверах, которые не получили своевременных обновлений безопасности.
После проникновения в локальную сеть злоумышленники используют инструмент Evil-WinRM для горизонтального перемещения между системами. Ключевым этапом на этом шаге является проведение атаки DCSync. Симулируя поведение контроллера домена, они извлекают учетные данные напрямую из Active Directory, что открывает им путь для дальнейшего продвижения.
Далее следует переход из локальной среды в облако. Атакующие компрометируют сервер Entra Connect, связанный с облачным клиентом Entra ID, и извлекают учетные данные служебной записи Directory Synchronization Account. С ее помощью они находят неперсонифицированную синхронизированную учетную запись, обладающую правами глобального администратора в Microsoft Entra ID.
Критическая уязвимость, которую эксплуатирует Storm-0501, заключается в отсутствии многофакторной аутентификации (MFA) для этой учетной записи с высокими привилегиями. Злоумышленники сбрасывают пароль этой учетной записи в локальном Active Directory, и сервис Entra Connect Sync автоматически синхронизирует это изменение с облаком, предоставляя им полный контроль над облачной средой.
Получив доступ к порталу Azure с правами глобального администратора, группа немедленно создает бэкдор. Они регистрируют собственный клиент Entra ID в качестве доверенного федеративного домена. Это обеспечивает им постоянный доступ к ресурсам жертвы, даже если скомпрометированная учетная запись будет заблокирована.
Финальная стадия атаки разворачивается стремительно. Злоумышленники выгружают огромные объемы данных из Azure. Сразу после этого они выполняют массовое удаление облачных ресурсов, включая все рабочие данные и резервные копии, лишая организацию возможности восстановления. Требование о выкупе за украденную информацию направляется жертве через скомпрометированный аккаунт Microsoft Teams одного из сотрудников.
В ответ на эту угрозу команда Microsoft Threat Intelligence внесла изменения в Microsoft Entra ID, чтобы предотвратить злоупотребление учетными записями Directory Synchronization Account для эскалации привилегий. Эти исправления были включены в обновление Microsoft Entra Connect версии 2.5.3.0, которое также добавило поддержку современной аутентификации для более безопасной работы.
Для защиты от подобных атак организациям настоятельно рекомендуется активировать модуль Trusted Platform Module (TPM) на серверах, где работает Entra Connect Sync. Использование TPM обеспечивает безопасное хранение чувствительных учетных данных и криптографических ключей на аппаратном уровне, что значительно усложняет их извлечение с помощью техник, подобных DCSync.
