Bir zamanlar toplu kimlik avı grubu olarak bilinen Storm-0249, önemli bir dönüşüm geçirerek hassas saldırılarda uzmanlaşmış gelişmiş bir ilk erişim aracısına dönüştü.
Bu evrim, gürültülü kimlik avı kampanyalarından suç ortaklarına fidye yazılımına hazır erişim sağlamak için tasarlanmış gizli, istismar sonrası tekniklere doğru geçiş yaparak tehdit taktiklerinde kritik bir değişime işaret ediyor.
Tehdit aktörü artık, hedeflenen ağlarda kalıcı dayanaklar oluşturmak için, özellikle SentinelOne gibi uç nokta tespit ve yanıt (EDR) araçlarıyla ilişkili olanlar olmak üzere meşru imzalı dosyalardan yararlanıyor.
Grubun operasyonel değişimi, başarı oranlarını artırmak için gelişmiş kaçınma yöntemlerini benimseyen ilk erişim brokerleri arasındaki artan eğilimi yansıtıyor.
Storm-0249, hizmet olarak fidye yazılımı operatörlerine önceden hazırlanmış ağ erişimi satarak saldırı zaman çizelgelerini hızlandırır ve alt taraftaki tehdit aktörleri için teknik engelleri azaltır.
.webp)
Bu iş modelinin özellikle etkili olduğu kanıtlanıyor çünkü grubun kurban ortamlarında uzun süre gizli kalmasına, keşif yapmasına ve nihai fidye yazılımı dağıtımı için altyapı hazırlamasına olanak tanıyor.
ReliaQuest analistleri, Storm-0249’un, kullanıcıları Windows Çalıştır iletişim kutusu aracılığıyla kötü amaçlı komutlar yürütmeye yönlendiren ClickFix adı verilen bir teknik aracılığıyla sosyal mühendislikle başlayan çok aşamalı bir saldırı zinciri kullandığını belirledi.
.webp)
İlk erişim elde edildikten sonra tehdit aktörü, sistem düzeyinde ayrıcalıklara sahip kötü amaçlı MSI paketlerini dağıtarak sonraki yararlanma aşamaları için koşullar yaratır.
Storm-0249’un operasyonlarının en endişe verici yönü, dinamik bağlantı kitaplığı yükleme yoluyla güvenilir EDR süreçlerini kötüye kullanmasıdır.
Çiftlikler
Saldırı, yasal kitaplıklar yerine kötü amaçlı kod yüklemek için SentinelAgentWorker.exe gibi yasal, dijital olarak imzalanmış yürütülebilir dosyaları manipüle ederek güvenlik yazılımı içindeki temel güven ilişkisinden yararlanıyor.
Bu tekniğin son derece etkili olduğu kanıtlanmıştır çünkü güvenlik izleme araçları genellikle güvenilir EDR süreçlerini agresif incelemenin dışında tutar ve savunucular için önemli kör noktalar yaratır.
SentinelOne’un ikili programı başlatıldığında, yasal yürütülebilir dosyanın yanında stratejik olarak AppData klasörüne yerleştirilen kötü amaçlı DLL’yi de otomatik olarak yükler.
Güvenliği ihlal edilen süreç daha sonra saldırganın kodunu çalıştırırken algılama sistemlerine rutin bir güvenlik yazılımı işlemi gibi görünür.
Bu yandan yükleme tekniği, Storm-0249’un komuta ve kontrol iletişimi kurmasına, şifreleme bağlaması için gereken makine tanımlayıcılarını çıkarmak gibi keşif faaliyetlerini yürütmesine ve standart iyileştirme girişimlerinden sonra hayatta kalan kalıcılığı sürdürmesine olanak tanır.
Teknik temel bir zorluk ortaya koyuyor: Komut satırı araçlarının izlenmesi etrafında oluşturulan geleneksel süreç tabanlı algılamalar, tüm kötü amaçlı yürütmelerin dijital olarak imzalanmış, beyaz listeye alınmış bir güvenlik süreci altında gerçekleşmesi nedeniyle bu etkinliği yakalayamıyor.
Kuruluşlar, bu gelişmiş taktiklere etkili bir şekilde karşı koymak için davranışsal analizler uygulamalı ve beklenmedik konumlardan imzasız dosyalar yükleyen meşru yürütülebilir dosyalar gibi anormallikleri izlemelidir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
