Storm-0249 intensifica gli attacchi ransomware con ClickFix, Fileless PowerShell e DLL Sideloading

L'autore della minaccia noto come Storm-0249 sta probabilmente abbandonando il suo ruolo di broker di accesso iniziale per adottare una combinazione di tattiche più avanzate come lo spoofing del dominio, il caricamento laterale di DLL e l'esecuzione di PowerShell senza file per facilitare gli attacchi ransomware.

"Questi metodi consentono loro di aggirare le difese, infiltrarsi nelle reti, mantenere la persistenza e operare inosservati, sollevando serie preoccupazioni per i team di sicurezza", ha affermato ReliaQuest in un rapporto condiviso con The Hacker News.

Storm-0249 è il soprannome assegnato da Microsoft a un broker di accesso iniziale che ha venduto punti di accesso alle organizzazioni ad altri gruppi di criminalità informatica, inclusi autori di ransomware ed estorsioni come Storm-0501. Il colosso della tecnologia ne ha parlato per la prima volta nel settembre 2024.

In seguito, all'inizio di quest'anno, Microsoft ha anche rivelato i dettagli di una campagna di phishing organizzata dall'autore della minaccia, che utilizzava temi legati al fisco per prendere di mira gli utenti negli Stati Uniti prima della stagione della dichiarazione dei redditi e infettarli con Latrodectus e il framework di post-exploit BruteRatel C4 (BRc4).

L'obiettivo finale di queste infezioni è ottenere un accesso persistente a diverse reti aziendali e monetizzarle vendendole a gruppi di ransomware, fornendo loro una scorta pronta di obiettivi e accelerando il ritmo di tali attacchi.

Le ultime scoperte di ReliaQuest dimostrano un cambio di strategia, in cui Storm-0249 ha fatto ricorso alla famigerata tattica di social engineering ClickFix per indurre i potenziali obiettivi a eseguire comandi dannosi tramite la finestra di dialogo Esegui di Windows con il pretesto di risolvere un problema tecnico.

In questo caso, il comando copiato ed eseguito sfrutta il file legittimo "curl.exe" per recuperare uno script PowerShell da un URL che imita un dominio Microsoft, in modo da dare alle vittime un falso senso di fiducia ("sgcipl[.]com/us.microsoft.com/bdo/") ed eseguirlo in modalità fileless tramite PowerShell.

Questo, a sua volta, determina l'esecuzione di un pacchetto MSI dannoso con privilegi di SISTEMA, che rilascia una DLL trojanizzata associata alla soluzione di sicurezza endpoint di SentinelOne ("SentinelAgentCore.dll") nella cartella AppData dell'utente insieme al file eseguibile legittimo "SentinelAgentWorker.exe".

In questo modo, l'idea è di caricare la DLL non autorizzata all'avvio del processo "SentinelAgentWorker.exe", consentendo così all'attività di non essere rilevata. La DLL stabilisce quindi una comunicazione crittografata con un server di comando e controllo (C2).

È stato anche osservato che Storm-0249 utilizzava utilità amministrative Windows legittime come reg.exe e findstr.exe per estrarre identificatori di sistema univoci come MachineGuid, allo scopo di gettare le basi per attacchi ransomware successivi. L'utilizzo di tattiche di tipo "living-off-the-land" (LotL), unito al fatto che questi comandi vengono eseguiti tramite il processo attendibile "SentinelAgentWorker.exe", rende improbabile che l'attività sollevi segnali d'allarme.

I risultati indicano un abbandono delle campagne di phishing di massa per adottare attacchi di precisione che sfruttano la fiducia associata ai processi firmati per una maggiore invisibilità.

"Non si tratta di una semplice ricognizione generica, ma di una preparazione per gli affiliati del ransomware", ha affermato ReliaQuest. "Gruppi ransomware come LockBit e ALPHV utilizzano MachineGuid per associare le chiavi di crittografia ai singoli sistemi delle vittime."

"Collegando le chiavi di crittografia a MachineGuid, gli aggressori garantiscono che, anche se i difensori catturano il file binario del ransomware o tentano di effettuare il reverse engineering dell'algoritmo di crittografia, non possono decrittografare i file senza la chiave controllata dall'aggressore."