El último blog de inteligencia sobre amenazas de Microsoft alerta a todas las organizaciones sobre el reciente cambio de tácticas, objetivos y puertas traseras de Storm-0501 en entornos de nube híbrida.
Storm-0501 utiliza una variedad de tácticas para lograr sus objetivos y tiende a comprometer las nubes y tomar el control de redes enteras. Los miembros primero acceden a entornos locales, luego migran a la nube, incorporan puertas traseras para un acceso persistente e implementan ransomware.
Storm-0501, que ha estado activo desde 2021, todavía se considera un grupo emergente en opinión de Microsoft, por lo que la convención de nomenclatura “Storm” está reservada para grupos aún en desarrollo.
A pesar de ser un grupo joven, el grupo ha sido responsable de numerosos ataques de ransomware como miembro de los programas afiliados de ransomware LockBit, ALPHV, Hive y Hunters International.
Más recientemente, descubrimos que Microsoft implementaba cargas útiles de ransomware Embargo y las comparamos de forma independiente con grupos financieros más establecidos como Octo Tempest (Scattered Spider) y Manatee Tempest (Evil Corp).
Un ataque típico de Storm-0501 es bastante estándar y no tan sorprendente. Los intermediarios de acceso inicial (IAB) se utilizan a menudo para el acceso inicial, pero también se pueden explotar las vulnerabilidades de los servidores públicos si es necesario.
El grupo apunta a cuentas con demasiados privilegios en esta etapa y, una vez que los miembros obtienen el control de estas cuentas, generalmente aprovechan el módulo SecretsDump de Impacket para comprometer más cuentas en busca de credenciales adicionales que puedan usarse. Este proceso se repite hasta que una gran cantidad de cuentas están bajo el control del atacante. En una situación ideal para un atacante, esto incluiría varias cuentas de administrador de dominio.
El antiguo y fiel Cobalt Strike se utiliza para el movimiento lateral, lo que a menudo termina con el acceso a controladores de dominio, seguido del robo de datos y la implementación de ransomware.
Pero los ataques recientes han preocupado a los investigadores. Durante la fase de recopilación de credenciales, Storm-0501 utilizó las credenciales robadas de Entra ID para migrar desde el entorno local a un entorno de nube, donde comenzó a implantar una puerta trasera.
Los atacantes utilizaron dos métodos diferentes para tomar el control de Entra ID. El primero fue comprometer la cuenta del servicio Entra Connect Sync, que se almacena de forma cifrada en el disco del servidor o en un servidor SQL remoto.
“En la reciente campaña Storm-0501, podemos evaluar con gran confianza que los atacantes pudieron localizar específicamente los servidores de sincronización de Microsoft Entra Connect y extraer credenciales de texto sin formato para la nube de Microsoft Entra Connect y las cuentas de sincronización locales”, escribe Microsoft. .
“Creemos que el actor de amenazas pudo lograr esto debido a la actividad maliciosa previa descrita en esta publicación de blog, incluido el uso de Impacket para robar credenciales y claves de cifrado DPAPI, y la manipulación de productos de seguridad. Lo estoy evaluando.
“El compromiso de una cuenta de Microsoft Entra Connect Sync es un alto riesgo para el objetivo porque podría permitir a un atacante establecer o cambiar contraseñas de Microsoft Entra ID para cuentas híbridas (cuentas locales que están sincronizadas con un Microsoft Entra ID)”. “
Otra táctica que Storm-0501 utilizó para pasar con éxito a la nube fue crear una cuenta de administrador de dominio local que no esté protegida por MFA y que tenga una cuenta equivalente en la nube que también sirva como administrador global.
Entra no tiene servicios de sincronización disponibles para este tipo de cuentas, por lo que un atacante tendría que encontrar una cuenta que no tenga la suerte de estar protegida por MFA y use la misma contraseña que la cuenta local.
Habilitar MFA hace que este vector de ataque sea más complejo y tenga menos probabilidades de tener éxito. En este caso, el atacante tendría que alterar la protección MFA o tomar medidas adicionales para comprometer el dispositivo del usuario y secuestrar su sesión en la nube o extraer el token de acceso de Entra.
No importa qué ruta tome Storm-0501, a menudo incorpora una puerta trasera que permite el acceso persistente mediante la creación de un dominio federado y la autenticación como usuario inquilino de Entra ID.
Una vez que el objetivo está completamente comprometido y sus datos son filtrados, es cuando el ransomware se abre camino. Aunque Storm-0501 actualmente selecciona cargas útiles de Embargo que siguen un modelo típico de doble extorsión, no todos sus ataques resultan en la implementación de ransomware. Microsoft dijo en un blog que algunas de las puertas traseras sólo se eliminaron después de que se establecieron, y el blog también incluye una extensa colección de consejos para la búsqueda de amenazas e indicadores de compromiso. ®
https://packetstormsecurity.com/news/view/36403/Ransomware-Gang-Using-Stolen-MS-Entra-ID-Creds-To-Bust-Into-Cloud.html
