Tehdit aktörü olarak bilinen Fırtına-0249 Fidye yazılımı saldırılarını kolaylaştırmak için muhtemelen ilk erişim aracısı rolünden etki alanı sahteciliği, DLL yan yükleme ve dosyasız PowerShell yürütme gibi daha gelişmiş taktiklerin bir kombinasyonunu benimsemeye doğru kayıyor.
The Hacker News ile paylaşılan bir raporda ReliaQuest, “Bu yöntemler onların savunmaları aşmasına, ağlara sızmasına, kalıcılığı sürdürmesine ve tespit edilmeden çalışmasına olanak tanıyor, bu da güvenlik ekipleri için ciddi endişelere yol açıyor” dedi.
Storm-0249, Microsoft tarafından, Storm-0501 gibi fidye yazılımı ve gasp aktörleri de dahil olmak üzere diğer siber suç gruplarına kuruluşlara erişim sağlayan bir ilk erişim komisyoncusuna atanan takma addır. İlk olarak teknoloji devi tarafından Eylül 2024’te vurgulanmıştı.
Daha sonra, bu yılın başlarında Microsoft, tehdit aktörü tarafından vergiyle ilgili temalar kullanılarak vergi beyanı dönemi öncesinde ABD’deki kullanıcıları hedef alan ve bu kullanıcılara Latrodectus ve BruteRatel C4 (BRc4) sömürü sonrası çerçevesini bulaştıran bir kimlik avı kampanyasının ayrıntılarını da açıkladı.
Bu enfeksiyonların nihai hedefi, çeşitli kurumsal ağlara kalıcı erişim elde etmek ve bunları fidye yazılımı çetelerine satarak, onlara hazır hedef tedariki sağlayarak ve bu tür saldırıların hızını artırarak para kazanmaktır.
ReliaQuest’in en son bulguları, Storm-0249’un, teknik bir sorunu çözme bahanesi altında olası hedefleri Windows Çalıştır iletişim kutusu aracılığıyla kötü amaçlı komutlar çalıştırmaları için kandırmak amacıyla kötü şöhretli ClickFix sosyal mühendislik taktiğini kullanmaya başvurduğu taktiksel bir değişimi gösteriyor.
Bu durumda, kopyalanan ve yürütülen komut, mağdurlara sahte bir güven duygusu vermek için Microsoft etki alanını taklit eden bir URL’den bir PowerShell komut dosyası getirmek için meşru “curl.exe”den yararlanır (“sgcipl”)[.]com/us.microsoft.com/bdo/”) ve bunu PowerShell aracılığıyla dosyasız bir şekilde yürütün.
Bu da, SYSTEM ayrıcalıklarına sahip kötü amaçlı bir MSI paketinin yürütülmesiyle sonuçlanır ve bu paket, SentinelOne’un uç nokta güvenlik çözümü (“SentinelAgentCore.dll”) ile ilişkili truva atı haline getirilmiş bir DLL dosyasını, yasal “SentinelAgentWorker.exe” yürütülebilir dosyasıyla birlikte kullanıcının AppData klasörüne bırakır.
Bunu yaparken amaç, “SentinelAgentWorker.exe” işlemi başlatıldığında hileli DLL dosyasını başka bir yere yüklemek, böylece etkinliğin tespit edilmeden kalmasını sağlamaktır. DLL daha sonra bir komut ve kontrol (C2) sunucusuyla şifreli iletişim kurar.
Storm-0249’un ayrıca reg.exe ve findstr.exe gibi meşru Windows yönetim araçlarını kullanarak, devam eden fidye yazılımı saldırılarına zemin hazırlamak amacıyla MachineGuid gibi benzersiz sistem tanımlayıcılarını çıkardığı da gözlemlendi. Arazide yaşama (LotL) taktiklerinin kullanılması, bu komutların güvenilir “SentinelAgentWorker.exe” süreci altında çalıştırılması gerçeğiyle birleştiğinde, etkinliğin herhangi bir tehlike işareti yaratma ihtimalinin düşük olduğu anlamına gelir.
Bulgular, toplu kimlik avı kampanyalarından, imzalı süreçlerle ilişkili güveni daha fazla gizlilik için silah haline getiren hassas saldırılara doğru bir sapma olduğunu gösteriyor.
ReliaQuest, “Bu sadece genel bir keşif değil, fidye yazılımı ortaklarına yönelik bir hazırlıktır” dedi. “LockBit ve ALPHV gibi fidye yazılımı grupları, şifreleme anahtarlarını bireysel kurban sistemlerine bağlamak için MachineGuid’i kullanıyor.”
“Saldırganlar, şifreleme anahtarlarını MachineGuid’e bağlayarak, savunmacılar fidye yazılımı ikili dosyasını ele geçirse veya şifreleme algoritmasında tersine mühendislik yapmaya çalışsalar bile, saldırganın kontrol ettiği anahtar olmadan dosyaların şifresini çözememesini sağlar.”