Storm-0501: Ransomware attacks expanding to hybrid cloud environments | Microsoft Security Blog
- Storm-0501 공격 그룹 개요
- Storm-0501은 금전적 동기를 가진 사이버 범죄 그룹으로, 하이브리드 클라우드 환경을 타겟으로 데이터 유출, 자격 증명 탈취, 백도어 설치, 랜섬웨어 배포 등 다단계 공격 수행
- 미국의 정부, 제조업, 교통, 법 집행 기관을 비롯한 여러 부문이 주요 공격 대상
- 2021년부터 활동이 포착되었으며, 초기에는 Sabbath(54bb47h) 랜섬웨어를 배포하였으나, 이후 랜섬웨어-서비스(RaaS) 모델로 전환하여 여러 랜섬웨어를 배포함
- 랜섬웨어 및 랜섬 모델
- Storm-0501은 Hive, BlackCat(ALPHV), LockBit 등을 포함한 다양한 랜섬웨어 페이로드를 배포
- 최근에는 Embargo 랜섬웨어 배포를 통해 두 가지 방식의 공격을 수행: 첫 번째는 파일을 암호화한 후, 두 번째는 데이터를 유출하여 이중 협박
- 하이브리드 클라우드 환경에서의 공격 방법
- 약한 자격 증명과 과도한 권한을 가진 계정을 악용해 온프레미스에서 클라우드 환경으로 확장
- Zoho ManageEngine, Citrix NetScaler, ColdFusion의 알려진 취약점을 악용해 초기 접근 획득
- 공격 과정
- 초기 접근 후 Active Directory(AD) 정보를 수집하기 위해 ADRecon.ps1을 사용, 다양한 원격 관리 도구(RMM)를 통해 지속성 유지
- 이동 공격: Impacket의 SecretsDump 모듈을 사용해 네트워크 내에서 자격 증명을 탈취, Cobalt Strike를 활용해 네트워크 내 장치 간 횡적 이동 수행
- 데이터 유출: Rclone을 위장된 파일 이름으로 사용하여 데이터를 MegaSync와 같은 클라우드로 업로드
- 클라우드 환경으로의 피벗
- Microsoft Entra Connect 계정의 자격 증명을 탈취하여 Microsoft Entra ID(Azure AD)로 이동
- Global Administrator 권한을 가진 계정을 탈취해 백도어 설치 및 클라우드 환경에 지속적인 접근 유지
- 탐지 및 방지 조치
- 다중 인증(MFA) 적용, 권한 최소화 및 Azure AD 보안 모범 사례 적용
- Microsoft Defender 및 Sentinel을 통해 이상 탐지 및 경보 생성
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| AI 기반 Rhadamanthys Stealer의 암호화폐 지갑 공격 및 이미지 인식 기능 강화 (1) | 2024.10.07 |
|---|---|
| Patelco Credit Union 랜섬웨어 공격으로 100만 명 이상 데이터 유출 (4) | 2024.10.07 |
| Microsoft 365 보호의 중요성: 랜섬웨어 위협에 대비한 최적의 방어 (1) | 2024.10.07 |
| 새로운 크립토재킹 공격이 Docker API를 악용해 악성 봇넷 구축 (0) | 2024.10.07 |
| 디즈니 플러스 활성화 페이지 사칭 사기 사례 요약 (1) | 2024.10.07 |