El actor de amenazas conocido como Tormenta-0249 Es probable que esté cambiando su función de intermediario de golpe auténtico para adoptar una combinación de tácticas más avanzadas como suplantación de dominio, carga contiguo de DLL y ejecución de PowerShell sin archivos para solucionar los ataques de ransomware.
“Estos métodos les permiten eludir las defensas, infiltrarse en redes, prolongar la persistencia y especular sin ser detectados, lo que genera serias preocupaciones para los equipos de seguridad”, dijo ReliaQuest en un documentación compartido con The Hacker News.
Storm-0249 es el apodo asignado por Microsoft a un agente de golpe auténtico que ha vendido puntos de apoyo en organizaciones a otros grupos de delitos cibernéticos, incluidos actores de ransomware y molestia como Storm-0501. El coloso tecnológico lo destacó por primera vez en septiembre de 2024.
Luego, a principios de este año, Microsoft además reveló detalles de una campaña de phishing montada por el actor de amenazas que utilizó temas relacionados con impuestos para atacar a usuarios en los EE. UU. antaño de la temporada de presentación de impuestos e infectarlos con Latrodectus y el situación de post-explotación BruteRatel C4 (BRc4).
El objetivo final de estas infecciones es obtener golpe persistente a varias redes empresariales y monetizarlas vendiéndolas a bandas de ransomware, proporcionándoles un suministro dispuesto de objetivos y acelerando el ritmo de dichos ataques.
Los últimos hallazgos de ReliaQuest demuestran un cambio táctico, donde Storm-0249 ha recurrido al uso de la infame táctica de ingeniería social ClickFix para engañar a objetivos potenciales para que ejecuten comandos maliciosos a través del cuadro de diálogo Ejecutar de Windows con el pretexto de resolver un problema técnico.
En este caso, el comando copiado y ejecutado aprovecha el cierto “curl.exe” para obtener un script de PowerShell de una URL que imita un dominio de Microsoft para dar a las víctimas una falsa sensación de confianza (“sgcipl(.)com/us.microsoft.com/bdo/”) y ejecutarlo sin archivos a través de PowerShell.
Esto, a su vez, da como resultado la ejecución de un paquete MSI malvado con privilegios de SISTEMA, que coloca una DLL troyanizada asociada con la opción de seguridad de endpoints de SentinelOne (“SentinelAgentCore.dll”) en la carpeta AppData del adjudicatario cercano con el ejecutable cierto “SentinelAgentWorker.exe”.
Al hacerlo, la idea es descargar la DLL maliciosa cuando se inicia el proceso “SentinelAgentWorker.exe”, permitiendo así que la actividad permanezca sin ser detectada. Luego, la DLL establece una comunicación cifrada con un servidor de comando y control (C2).
Igualmente se ha observado que Storm-0249 utiliza utilidades administrativas legítimas de Windows como reg.exe y findstr.exe para extraer identificadores únicos del sistema como MachineGuid y sentar las bases para posteriores ataques de ransomware. El uso de tácticas de vida de la tierra (LotL), cercano con el hecho de que estos comandos se ejecutan bajo el proceso confiable “SentinelAgentWorker.exe”, significa que es poco probable que la actividad genere señales de alerta.
Los hallazgos indican un alejamiento de las campañas masivas de phishing en torno a ataques de precisión que convierten en armamento la confianza asociada con los procesos firmados para viejo sigilo.
“Esto no es sólo un agradecimiento genérico, es una preparación para los afiliados de ransomware”, dijo ReliaQuest. “Los grupos de ransomware como LockBit y ALPHV utilizan MachineGuid para vincular claves de secreto a los sistemas de las víctimas individuales”.
“Al vincular las claves de secreto a MachineGuid, los atacantes se aseguran de que incluso si los defensores capturan el binario del ransomware o intentan aplicar ingeniería inversa al operación de secreto, no podrán descifrar archivos sin la secreto controlada por el atacante”.
