Embargoランサムウェア、クラウド環境への攻撃を拡大
BleepingComputer – September 27, 2024
マイクロソフトによると、ランサムウェア脅威アクター「Storm-0501」が先ごろ戦術を変え、ハイブリッドクラウド環境を標的にすることで、被害者の資産すべてを侵害する戦略を拡大させているという。Storm-0501は2021年にSabbathランサムウェアのアフィリエイトとして始動したアクターで、その後HiveやBlackCat、LockBitなどのランサムウェアを利用してきたが、直近ではEmbargoランサムウェアを展開している。最近の攻撃でターゲットとなったのは米国の病院や政府機関、製造業、輸送機関、法執行機関とのこと。
攻撃では、盗まれた認証情報や購入された認証情報を用いるか、既知の脆弱性を悪用することで標的のネットワークへの初期アクセスを取得。攻撃で使用された脆弱性にはCVE-2022-47966(Zoho ManageEngineにおけるリモートコード実行の脆弱性)、CVE-2023-4966(Citrix NetScalerにおける情報漏洩の脆弱性)があるほか、CVE-2023-29300またはCVE-2023-38203(Adobe ColdFusionにおけるリモートコード実行の脆弱性)が悪用された可能性もあるという。
初期アクセス獲得後、Storm-0501はImpacketやCobalt Strikeなどのフレームワークを使用して被害組織のオンプレミス環境からクラウド環境に水平移動し、機微なファイルを抽出した後、システム全体にEmbargoランサムウェアを展開する。しかし常にランサムウェアが配布されるわけではなく、ネットワークへのバックドアアクセスを維持するだけの場合もあるようだ。
Embargo脅威グループはRustベースのマルウェアを使用し、RaaS事業を展開しているグループ。このグループのアフィリエイトは企業を侵害してペイロードを展開し、Embargoと利益の一部を分け合う。