2021年から活動している金銭目的の脅威グループが、その技術的手法を洗練させ、オンプレミスのインフラストラクチャの範囲を超えてランサムウェア活動を拡大できるクラウドベースのシステムに注力していると、マイクロソフト脅威インテリジェンスは水曜日に公開したレポートで述べています。
クラウドネイティブの機能を活用することで、Storm-0501は大量のデータを迅速に流出させ、被害者環境内のデータやバックアップを破壊し、システムを暗号化しています。「これは、エンドポイントにのみマルウェアを展開していた脅威アクターとは対照的です」と、マイクロソフトの脅威インテリジェンス戦略ディレクターであるSherrod DeGrippo氏はメールで述べています。
「この進化は、技術的な変化だけでなく、影響戦略の変化でもあります」とDeGrippo氏は述べています。「単にファイルを暗号化して復号のために身代金を要求するのではなく、Storm-0501は今や機密性の高いクラウドデータを流出させ、バックアップを破壊し、永久的なデータ損失や情報漏洩をちらつかせて被害者を脅迫しています。」
Storm-0501は、ハイブリッドクラウド環境における管理されていないデバイスやセキュリティの隙間を探して機会的に標的を定めます。これらの脆弱性を悪用することで、検知を回避し、アクセス権限を昇格させ、場合によってはユーザーアカウント間を移動することも可能です。この手法により攻撃の影響が拡大し、金銭的な成功の可能性が高まるとマイクロソフトは述べています。
この脅威グループは最近、複数の子会社を持つ大企業を侵害しました。各子会社は独立したActive Directoryドメインと、複数のEntra IDテナントに紐づくセキュリティツールのカバレッジが異なる個別のMicrosoft Azureインスタンスを運用していました。「この断片化された導入により、環境全体で可視性のギャップが生じていました」と研究者らはレポートで述べています。
Storm-0501は、エンドポイント検知が有効になっていないActive Directoryドメインを探しました。一度Active Directory環境に足場を築くと、他のドメインへと移動し、最終的には異なるEntra IDテナントおよびActive Directoryドメインに関連付けられた別のEntra Connectサーバーを侵害しました。
「多くの組織は、非常に重要で、しばしば脆弱またはレガシーであるためにクラウドへ移行できないオンプレミス資産を持っています」とDeGrippo氏は述べています。「これが、こうした環境における大きな弱点となっています。」
偵察活動により、この脅威グループは組織のセキュリティツールやインフラストラクチャについて深い可視性を得ることができました。Storm-0501は、そのEntra IDアカウントで多要素認証が設定されていないグローバル管理者権限を持つ非人間型IDを特定しました。
脅威グループは被害者のオンプレミスパスワードを正常にリセットし、それをクラウドIDに同期させ、自分たちの管理下で新たな多要素認証方法を登録しました。そのレベルのアクセス権を得たことで、Storm-0501はクラウドドメインを完全に制御し、最高レベルのクラウド権限を使って目的を達成したと研究者らは述べています。
最終的にStorm-0501は被害組織のAzure環境を掌握し、重要資産を特定し、Azure Ownerロールを悪用してデータ流出を可能にする鍵にアクセスし、盗み出しました。マイクロソフトによると、脅威グループはその後、クラウドベースの暗号化を実行し、Azureリソースを大量に削除した上で、以前に侵害したユーザーアカウントの1つを使ってMicrosoft Teamsで被害者に連絡し、恐喝を開始しました。
「Storm-0501はランサムウェア戦術に大きな変化をもたらしています」とDeGrippo氏は述べています。「ハイブリッドおよびクラウド環境は独自の脆弱性を抱えています。Storm-0501はオンプレミスとクラウドのセキュリティの隙間を突いており、ハイブリッドアーキテクチャを持つ組織は、統合された可視性とコントロールがなければ、より大きなリスクにさらされることを示しています。」
翻訳元: https://cyberscoop.com/storm-0501-ransomware-microsoft-threat-intelligence/