Группа Storm-0249, известная как брокер начального доступа (Initial Access Broker, IAB), кардинально меняет тактику. Вместо массовых фишинговых рассылок она переходит к целенаправленным атакам, злоупотребляя доверенными процессами систем безопасности, что позволяет скрывать вредоносную активность от традиционных средств защиты. Об этом свидетельствует новое исследование команды ReliaQuest Threat Research, проведенное совместно со специалистами SentinelOne.
Описание
Ранее Storm-0249 специализировалась на массовом компрометировании систем через фишинг, чтобы затем продавать этот доступ аффилированным группам, развертывающим программы-вымогатели (ransomware). Теперь же их методы стали точечными и используют легитимные инструменты. Ключевая новинка - атака через механизм подмены DLL-библиотек (DLL sideloading), нацеленная на процесс SentinelAgentWorker.exe в системе защиты конечных точек EDR (Endpoint Detection and Response) от SentinelOne.
Как работает новая схема?
Атака начинается с социальной инженерии. Пользователя обманом заставляют запустить вредоносный пакет MSI, замаскированный под обновление или исправление от Microsoft. Этот пакет, используя системные привилегии Windows, размещает в папке AppData троянизированную DLL-библиотеку с именем, аналогичным легитимному компоненту SentinelOne. Когда позже запускается принесенный злоумышленниками подписанный исполняемый файл SentinelOne, он по умолчанию загружает вредоносную DLL из той же папки, а не оригинальную.
Таким образом, код атакующего выполняется в контексте доверенного, подписанного процесса безопасности. Для многих систем мониторинга это выглядит как рутинная операция EDR-агента. Этот метод не является эксплуатацией уязвимости в самом SentinelOne, а злоупотребляет стандартным порядком загрузки библиотек Windows.
Скрытые коммуникации и разведка
Установив контроль, Storm-0249 использует скомпрометированный процесс SentinelAgentWorker.exe для скрытного взаимодействия с командным сервером (C2). Трафик, идущий от доверенного агента безопасности по зашифрованному TLS-каналу, с высокой вероятностью обходит проверки межсетевых экранов и системы глубокого анализа пакетов.
Более того, под прикрытием этого же процесса злоумышленники проводят разведку с помощью легитимных системных утилит Windows, таких как "reg.exe" и "findstr.exe". Они собирают критически важные данные, например уникальный MachineGuid системы. Эта информация часто используется операторами программ-вымогателей для привязки ключей шифрования к конкретной жертве, что исключает возможность дешифрации без оплаты выкупа.
Почему это опасно и что делать?
Тактика Storm-0249 представляет угрозу для всей индустрии, поскольку метод подмены DLL применим не только к SentinelOne, но и к другим EDR-платформам. Атака демонстрирует, как злоумышленники используют слепые зоны в защите: доверенные процессы и легитимные административные инструменты редко подвергаются строгому контролю.
Традиционные антивирусные решения, основанные на сигнатурах, и статические списки блокировки доменов против таких атак малоэффективны. Специалисты ReliaQuest рекомендуют организациям сместить фокус на поведенческую аналитику. Необходимо отслеживать аномалии в поведении даже доверенных процессов, такие как загрузка DLL из нетипичных каталогов (например, AppData) или нехарактерные исходящие сетевые подключения.
Кроме того, важны мониторинг DNS-запросов на предмет обращений к новым доменам, строгий контроль за использованием служебных утилит вроде "curl.exe" и "PowerShell", а также внедрение автоматизированного реагирования на инциденты для быстрой изоляции зараженных систем. Без перехода к проактивной модели защиты, основанной на анализе поведения, организации рискуют столкнуться с длительными и скрытыми компрометациями, которые в итоге приведут к успешным атакам программ-вымогателей.
Индикаторы компрометации
IPv4
- 172.67.206.124
- 178.16.52.145
Domains
- hristomasitomasdf.com
- krivomadogolyhp.com
- sgcipl.com
SHA1
- 07c5599b9bb00feb70c2d5e43b4b76f228866930
- 423f2fcf7ed347ee57c1a3cffa14099ec16ad09c
