Storm-0501 tehdit grubu, hibrit bulut ortamlarını hedef alan gelişmiş veri sızdırma ve fidye yazılımı saldırılarını sürdürüyor. Microsoft’un raporuna göre, bu grup geleneksel fidye yazılımlarından farklı olarak, bulut yerel yetenekleri kullanarak kritik verileri hızla çalıyor, yedekleri yok ediyor ve fidye talebinde bulunuyor. Bu süreçte kötü amaçlı yazılım dağıtımına gerek kalmıyor.
Hibrit Bulut Ortamlarında Yatay Hareket ve Ayrıcalık Yükseltme
Saldırı zinciri, ele geçirilen kimlik bilgileri veya yamalanmamış sunucular üzerinden ilk erişimin sağlanmasıyla başlıyor. Storm-0501, yerel ağda keşif ve yan hareket yaparak hedefin bulut ortamına sızıyor. Active Directory ortamında DCSync saldırılarıyla kimlik bilgilerini çıkarıyor, farklı Entra ID kiracıları ve Entra Connect sunucuları arasında geçiş yaparak kalıcılık sağlıyor.
Entra ID ve Azure Kaynaklarında Kritik Güvenlik Açıkları
Tehdit aktörleri, MFA koruması olmayan insan olmayan senkronize kimlikleri hedef alarak yerel şifreleri sıfırlıyor ve bulut kimlikleriyle senkronize ediyor. Ele geçirilen Global Yönetici hesaplarıyla Azure Portal’a erişim sağlanıyor, arka kapılar oluşturuluyor ve kritik kaynaklara erişim yükseltiliyor. Bu durum, veri sızdırma ve fidye amaçlı şantaj için zemin hazırlıyor.
Microsoft’un Güvenlik Önlemleri ve Güncellemeleri
Microsoft, Directory Synchronization hesaplarının kötüye kullanımını engelleyen değişiklikler yaptı ve Entra Connect için Modern Kimlik Doğrulama destekli güncellemeler yayımladı. Ayrıca, Güvenilir Platform Modülü (TPM) etkinleştirilerek kimlik bilgileri ve kriptografik anahtarların güvenliği artırıldı. Bu önlemler, Storm-0501’in kimlik bilgisi çıkarma tekniklerini azaltmayı hedefliyor.