Storm-0501: 하이브리드 클라우드 환경을 겨냥한 랜섬웨어 공격 확대

Storm-0501: Ransomware attacks expanding to hybrid cloud environments | Microsoft Security Blog

 

• Storm-0501 공격 그룹 개요
  • Storm-0501은 금전적 동기를 가진 사이버 범죄 그룹으로, 하이브리드 클라우드 환경을 타겟으로 데이터 유출, 자격 증명 탈취, 백도어 설치, 랜섬웨어 배포 등 다단계 공격 수행
  • 미국의 정부, 제조업, 교통, 법 집행 기관을 비롯한 여러 부문이 주요 공격 대상
  • 2021년부터 활동이 포착되었으며, 초기에는 Sabbath(54bb47h) 랜섬웨어를 배포하였으나, 이후 랜섬웨어-서비스(RaaS) 모델로 전환하여 여러 랜섬웨어를 배포함
• 랜섬웨어 및 랜섬 모델
  • Storm-0501은 Hive, BlackCat(ALPHV), LockBit 등을 포함한 다양한 랜섬웨어 페이로드를 배포
  • 최근에는 Embargo 랜섬웨어 배포를 통해 두 가지 방식의 공격을 수행: 첫 번째는 파일을 암호화한 후, 두 번째는 데이터를 유출하여 이중 협박
• 하이브리드 클라우드 환경에서의 공격 방법
  • 약한 자격 증명과 과도한 권한을 가진 계정을 악용해 온프레미스에서 클라우드 환경으로 확장
  • Zoho ManageEngine, Citrix NetScaler, ColdFusion의 알려진 취약점을 악용해 초기 접근 획득
• 공격 과정
  • 초기 접근 후 Active Directory(AD) 정보를 수집하기 위해 ADRecon.ps1을 사용, 다양한 원격 관리 도구(RMM)를 통해 지속성 유지
  • 이동 공격: Impacket의 SecretsDump 모듈을 사용해 네트워크 내에서 자격 증명을 탈취, Cobalt Strike를 활용해 네트워크 내 장치 간 횡적 이동 수행
  • 데이터 유출: Rclone을 위장된 파일 이름으로 사용하여 데이터를 MegaSync와 같은 클라우드로 업로드
• 클라우드 환경으로의 피벗
  • Microsoft Entra Connect 계정의 자격 증명을 탈취하여 Microsoft Entra ID(Azure AD)로 이동
  • Global Administrator 권한을 가진 계정을 탈취해 백도어 설치 및 클라우드 환경에 지속적인 접근 유지
• 탐지 및 방지 조치
  • 다중 인증(MFA) 적용, 권한 최소화 및 Azure AD 보안 모범 사례 적용
  • Microsoft Defender 및 Sentinel을 통해 이상 탐지 및 경보 생성