Nhóm tác nhân đe dọa được biết đến với tên Storm-0249 có khả năng đang chuyển đổi vai trò từ một initial access broker sang việc áp dụng kết hợp các chiến thuật tiên tiến hơn như domain spoofing, DLL sideloading và thực thi PowerShell không dùng file để thực hiện các cuộc tấn công ransomware.
"Những phương pháp này cho phép chúng vượt qua hàng rào phòng thủ, xâm nhập mạng lưới, duy trì quyền truy cập và hoạt động mà không bị phát hiện, gây ra những lo ngại nghiêm trọng cho các đội ngũ an ninh mạng," ReliaQuest cho biết trong một báo cáo chia sẻ với The Hacker News.
Storm-0249 là tên gọi được Microsoft đặt cho một initial access broker đã bán quyền truy cập vào các tổ chức cho các nhóm tội phạm mạng khác, bao gồm các tác nhân ransomware và tống tiền như Storm-0501. Nhóm này lần đầu tiên được gã khổng lồ công nghệ nêu bật vào tháng 9 năm 2024.
Sau đó, đầu năm nay, Microsoft cũng tiết lộ chi tiết về một chiến dịch phishing do tác nhân đe dọa này thực hiện, sử dụng các chủ đề liên quan đến thuế để nhắm mục tiêu vào người dùng ở Hoa Kỳ trước mùa khai thuế và lây nhiễm cho họ bằng Latrodectus và framework post-exploitation BruteRatel C4 (BRc4).
Mục tiêu cuối cùng của các đợt lây nhiễm này là có được quyền truy cập bền vững vào các mạng doanh nghiệp khác nhau và kiếm tiền từ chúng bằng cách bán cho các băng nhóm ransomware, cung cấp cho chúng nguồn mục tiêu sẵn có và đẩy nhanh tốc độ của các cuộc tấn công đó.
Những phát hiện mới nhất từ ReliaQuest cho thấy một sự thay đổi chiến thuật, trong đó Storm-0249 đã chuyển sang sử dụng chiến thuật social engineering ClickFix khét tiếng để lừa các mục tiêu tiềm năng chạy các lệnh độc hại thông qua hộp thoại Windows Run với lý do giải quyết sự cố kỹ thuật.
Trong trường hợp này, lệnh được sao chép và thực thi sử dụng "curl.exe" hợp pháp để lấy một script PowerShell từ một URL giả mạo domain của Microsoft nhằm tạo cho nạn nhân cảm giác tin tưởng sai lầm ("sgcipl[.]com/us.microsoft.com/bdo/") và thực thi nó theo cách fileless qua PowerShell.
Điều này, đến lượt nó, dẫn đến việc thực thi một gói MSI độc hại với quyền SYSTEM, gói này sẽ thả một DLL bị trojan hóa liên quan đến giải pháp bảo mật endpoint của SentinelOne ("SentinelAgentCore.dll") vào thư mục AppData của người dùng cùng với tệp thực thi hợp pháp "SentinelAgentWorker.exe".
Khi làm như vậy, ý tưởng là sideload DLL độc hại khi quá trình "SentinelAgentWorker.exe" được khởi chạy, từ đó cho phép hoạt động này không bị phát hiện. DLL sau đó thiết lập giao tiếp được mã hóa với một máy chủ command-and-control (C2).
Storm-0249 cũng được quan sát thấy sử dụng các tiện ích quản trị Windows hợp pháp như reg.exe và findstr.exe để trích xuất các định danh hệ thống duy nhất như MachineGuid nhằm đặt nền móng cho các cuộc tấn công ransomware tiếp theo. Việc sử dụng các chiến thuật living-off-the-land (LotL), cùng với thực tế là các lệnh này được chạy dưới tiến trình "SentinelAgentWorker.exe" đáng tin cậy, có nghĩa là hoạt động này khó có thể gây ra bất kỳ cảnh báo nào.
Những phát hiện này cho thấy sự chuyển đổi từ các chiến dịch phishing hàng loạt sang các cuộc tấn công chính xác, lợi dụng sự tin cậy liên quan đến các tiến trình đã ký để tăng cường khả năng ẩn mình.
"Đây không chỉ là trinh sát chung chung – đây là sự chuẩn bị cho các đối tác ransomware," ReliaQuest cho biết. "Các nhóm ransomware như LockBit và ALPHV sử dụng MachineGuid để liên kết các khóa mã hóa với từng hệ thống nạn nhân."
"Bằng cách liên kết các khóa mã hóa với MachineGuid, những kẻ tấn công đảm bảo rằng ngay cả khi những người phòng thủ thu giữ được tệp nhị phân ransomware hoặc cố gắng đảo ngược kỹ thuật thuật toán mã hóa, họ cũng không thể giải mã các tệp nếu không có khóa do kẻ tấn công kiểm soát."
