Microsoft Threat Intelligence đã công bố chi tiết về những chiến thuật ngày càng tinh vi của nhóm tội phạm tài chính Storm-0501. Nhóm này đã chuyển đổi từ các cuộc tấn công ransomware truyền thống tại chỗ sang các hoạt động tấn công đám mây phức tạp hơn.

Sự Chuyển Đổi Chiến Thuật của Storm-0501: Từ Ransomware On-premises đến Tấn Công Đám Mây

Không giống ransomware thông thường dựa vào mã độc mã hóa endpoint và đàm phán khóa giải mã, Storm-0501 khai thác các khả năng gốc của đám mây.

Chúng thực hiện rút trích dữ liệu với dung lượng lớn, xóa sổ các bản sao lưu và yêu cầu tiền chuộc mà không cần sử dụng phần mềm độc hại.

Đặc Điểm Nổi Bật của Phương Thức Tấn Công Mới

Storm-0501 là một tác nhân cơ hội, từng được liên kết với các cuộc tấn công ransomware Sabbath vào các trường học ở Hoa Kỳ năm 2021 và các mục tiêu chăm sóc sức khỏe năm 2023.

Vào năm 2024, nhóm này đã áp dụng các payload như Embargo, mở rộng hoạt động sang các môi trường hybrid cloud.

Trong một bài đăng blog vào tháng 9 năm 2024, Microsoft đã nêu bật cách Storm-0501 xâm phạm Active Directory để chuyển hướng sang Microsoft Entra ID.

Chúng leo thang đặc quyền lên cấp độ quản trị viên toàn cầu (global administrator) thông qua các tên miền liên kết độc hại hoặc mã hóa tại chỗ. Chi tiết về lỗ hổng Microsoft Entra ID có thể tham khảo thêm tại đây.

Các chiến dịch gần đây cho thấy khả năng điều hướng chuyên nghiệp trong các thiết bị không được quản lý và các lỗ hổng bảo mật trong cấu hình nhiều tenant, cho phép di chuyển giữa các tenant và leo thang đặc quyền.

Quy Trình Xâm Nhập và Chiếm Quyền Điều Khiển Môi Trường Hybrid

Trong một cuộc tấn công doanh nghiệp gần đây, Storm-0501 đã xâm nhập vào một thiết lập phức tạp.

Môi trường này bao gồm các miền Active Directory liên kết với nhau và các tenant Azure phân mảnh. Nhóm đã khai thác phạm vi bảo hiểm hạn chế của Microsoft Defender for Endpoint, tạo ra các điểm mù về khả năng hiển thị.

Giai Đoạn Xâm Nhập Ban Đầu và Thăm Dò On-premises

Sau khi xâm nhập và có được quyền truy cập quản trị viên miền, tác nhân đã tiến hành thăm dò bằng cách sử dụng các lệnh CLI sau để phát hiện bảo mật endpoint:

sc query sense
sc query windefend

Tiếp theo là di chuyển ngang (lateral movement) thông qua Evil-WinRM để thực thi từ xa dựa trên PowerShell.

Nhóm cũng sử dụng các công cụ như quser.exe và net.exe để khám phá môi trường.

Một cuộc tấn công DCSync đã được thực hiện để mạo danh các bộ điều khiển miền, trích xuất các hash mật khẩu và qua mặt các cảnh báo xác thực.

Chuyển Đổi Sang Môi Trường Đám Mây (Microsoft Entra ID)

Để pivot sang đám mây, tác nhân đã lạm dụng các máy chủ Entra Connect Sync. Chúng sử dụng AzureHound để liệt kê người dùng và các vai trò, nhắm mục tiêu vào các danh tính quản trị viên toàn cầu không được bảo vệ bằng MFA.

Bằng cách đặt lại mật khẩu tại chỗ được đồng bộ hóa qua Password-Hash Synchronization (PHS), chúng đã xác thực vào Entra ID.

Nhóm đăng ký MFA do kẻ tấn công kiểm soát và thỏa mãn các chính sách truy cập có điều kiện (Conditional Access policies) từ các thiết bị hybrid-joined, từ đó đạt được quyền chiếm quyền điều khiển hoàn toàn đối với tenant.

Thiết Lập Duy Trì Quyền Truy Cập (Persistence)

Quyền truy cập được duy trì thông qua một backdoor sử dụng các tên miền liên kết độc hại. Nhóm đã sử dụng AADInternals để giả mạo các token SAML nhằm mạo danh người dùng.

Thực Thi Tấn Công và Hậu Quả Trong Azure

Trong môi trường Azure, tác nhân đã leo thang quyền truy cập bằng cách sử dụng Microsoft.Authorization/elevateAccess/action.

Thao tác này giúp chúng có được các vai trò User Access Administrator. Sau đó, chúng gán các vai trò Owner thông qua Microsoft.Authorization/roleAssignments/write để thống trị quyền kiểm soát các gói đăng ký (subscription).

Thăm Dò Tài Nguyên và Nâng Cao Đặc Quyền Trong Azure

Việc thăm dò bằng AzureHound đã giúp ánh xạ các tài sản quan trọng. Điều này bao gồm các tài khoản lưu trữ, các bản sao lưu và các biện pháp bảo vệ như Azure policies, resource locks và immutability policies.

Kỹ Thuật Xóa Sổ Dữ Liệu và Né Tránh Phòng Thủ

Để né tránh các biện pháp phòng thủ, Storm-0501 đã thực hiện các hành động sau:

• Kích hoạt quyền truy cập công cộng: Trên các tài khoản lưu trữ bằng cách sử dụng Microsoft.Storage/storageAccounts/write.
• Đánh cắp khóa: Với Microsoft.Storage/storageAccounts/listkeys/action.
• Rút trích dữ liệu: Sử dụng AzCopy CLI.

Hậu quả bao gồm việc xóa hàng loạt các tài nguyên. Các hoạt động như Microsoft.Compute/snapshots/delete cho snapshot, Microsoft.Compute/restorePointCollections/delete cho các điểm khôi phục máy ảo, Microsoft.Storage/storageAccounts/delete cho tài khoản lưu trữ và Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/delete cho các vault phục hồi đã được ghi nhận.

Để vượt qua các khóa và chính sách bất biến (immutability), chúng đã gọi Microsoft.Authorization/locks/delete và Microsoft.Storage/storageAccounts/blobServices/containers/immutabilityPolicies/delete.

Đối với các tài nguyên chống chịu tốt hơn, kẻ tấn công đã sử dụng mã hóa dựa trên đám mây. Các lệnh như Microsoft.KeyVault/vaults/write để tạo vault và Microsoft.Storage/storageAccounts/encryptionScopes/write cho các scope đã được sử dụng. Tuy nhiên, tính năng soft-delete của Azure đã giúp giảm thiểu mất mát dữ liệu vĩnh viễn.

Hậu Quả và Chiến Thuật Tống Tiền

Việc tống tiền sau đó được thực hiện qua Microsoft Teams, yêu cầu tiền chuộc sau khi dữ liệu bị phá hủy. Đây là một hình thức tấn công đám mây nghiêm trọng, gây ra nhiều rủi ro bảo mật cho doanh nghiệp.

Khuyến Nghị Phòng Ngừa và Tăng Cường An Ninh Mạng

Microsoft khuyến nghị tăng cường bảo vệ danh tính đám mây để chống lại các tấn công đám mây như Storm-0501. Cụ thể:

• Củng cố bảo vệ danh tính đám mây.
• Thực thi xác thực đa yếu tố (MFA).
• Giám sát các tài khoản đồng bộ hóa hybrid.
• Triển khai các giải pháp Defender toàn diện.

Những biện pháp này giúp phát hiện kịp thời các hành vi chuyển hướng và leo thang đặc quyền. Microsoft nhấn mạnh sự cần thiết của khả năng hiển thị hợp nhất trong các môi trường hybrid để đối phó với những mối đe dọa thích ứng này. Xem thêm khuyến nghị từ Microsoft Security Blog.