De bedreigingsacteur bekend als Storm-0249 waarschijnlijk verschuift van zijn rol als initiële toegangsmakelaar naar een combinatie van meer geavanceerde tactieken zoals domeinspoofing, side-loading van DLL’s en bestandsloze PowerShell-uitvoering om ransomware-aanvallen te vergemakkelijken.
“Deze methoden stellen hen in staat de verdediging te omzeilen, netwerken te infiltreren, doorzettingsvermogen te behouden en onopgemerkt te opereren, wat ernstige zorgen baart voor beveiligingsteams”, aldus ReliaQuest in een rapport gedeeld met The Hacker News.
Storm-0249 is de naam die Microsoft heeft gegeven aan een initiële toegangsmakelaar die voet aan de grond heeft verkocht in organisaties aan andere cybercriminaliteitsgroepen, waaronder ransomware- en afpersingsactoren zoals Storm-0501. Het werd voor het eerst benadrukt door de technologiegigant in september 2024.
Vervolgens onthulde Microsoft eerder dit jaar ook details van een phishing-campagne van de bedreigingsacteur die belastinggerelateerde thema’s gebruikte om gebruikers in de VS te targeten voorafgaand aan het belastingaangifteseizoen en hen te infecteren met Latrodectus en het BruteRatel C4 (BRc4) post-exploitatieframework.
Het einddoel van deze infecties is het verkrijgen van blijvende toegang tot verschillende bedrijfsnetwerken en het genereren van inkomsten hiermee door deze te verkopen aan ransomwarebendes, hen te voorzien van voldoende doelwitten en het tempo van dergelijke aanvallen te versnellen.
De nieuwste bevindingen van ReliaQuest demonstreren een tactische verschuiving, waarbij Storm-0249 zijn toevlucht heeft genomen tot het gebruik van de beruchte social engineering-tactiek ClickFix om potentiële doelwitten te misleiden om kwaadaardige opdrachten uit te voeren via het Windows Run-dialoogvenster onder het voorwendsel van het oplossen van een technisch probleem.
In dit geval maakt de gekopieerde en uitgevoerde opdracht gebruik van het legitieme “curl.exe” om een PowerShell-script op te halen van een URL die een Microsoft-domein nabootst om slachtoffers een vals gevoel van vertrouwen te geven (“sgcipl(.)com/us.microsoft.com/bdo/”) en dit op een bestandsloze manier uit te voeren via PowerShell.
Dit resulteert op zijn beurt in de uitvoering van een kwaadaardig MSI-pakket met SYSTEEM-rechten, waardoor een getrojaniseerde DLL die is gekoppeld aan SentinelOne’s eindpuntbeveiligingsoplossing (“SentinelAgentCore.dll”) in de AppData-map van de gebruiker terechtkomt, samen met het legitieme uitvoerbare bestand “SentinelAgentWorker.exe”.
Het idee is daarbij om de frauduleuze DLL te sideloaden wanneer het proces “SentinelAgentWorker.exe” wordt gestart, waardoor de activiteit onopgemerkt blijft. De DLL brengt vervolgens gecodeerde communicatie tot stand met een command-and-control (C2)-server.
Er is ook waargenomen dat Storm-0249 gebruik maakt van legitieme Windows-beheerprogramma’s zoals reg.exe en findstr.exe om unieke systeem-ID’s zoals MachineGuid te extraheren en zo de basis te leggen voor vervolg-ransomware-aanvallen. Het gebruik van LotL-tactieken (living-off-the-land), gekoppeld aan het feit dat deze commando’s worden uitgevoerd onder het vertrouwde “SentinelAgentWorker.exe”-proces, betekent dat het onwaarschijnlijk is dat de activiteit alarmsignalen zal oproepen.
De bevindingen wijzen erop dat er wordt afgeweken van massale phishing-campagnes naar precisieaanvallen die het vertrouwen dat gepaard gaat met ondertekende processen bewapenen voor extra stealth.
“Dit is niet alleen algemene verkenning, het is een voorbereiding op ransomware-filialen”, aldus ReliaQuest. “Ransomwaregroepen zoals LockBit en ALPHV gebruiken MachineGuid om encryptiesleutels aan individuele slachtoffersystemen te koppelen.”
“Door encryptiesleutels aan MachineGuid te koppelen, zorgen aanvallers ervoor dat zelfs als verdedigers het binaire bestand van de ransomware onderscheppen of proberen het encryptie-algoritme te reverse-engineeren, ze de bestanden niet kunnen decoderen zonder de door de aanvaller gecontroleerde sleutel.”
