Киберпреступная группа, классифицируемая Microsoft как Storm-0249, радикально меняет свои методы работы, переходя от роли стандартного брокера начального доступа (Initial Access Broker — IAB) к использованию сложных технических тактик. Если ранее в этом году злоумышленники фокусировались на фишинговых кампаниях, нацеленных на налогоплательщиков в США в преддверии сезона подачи отчетности, то теперь их стратегия направлена на обход современных систем защиты. Согласно отчету компании ReliaQuest, предоставленному изданию The Hacker News, деятельность группы больше не ограничивается простой разведкой, а представляет собой целенаправленную подготовку для внедрения партнеров-вымогателей.
В сентябре 2024 года Microsoft впервые выделила Storm-0249 как значимую угрозу, однако последние данные указывают на существенную эскалацию их возможностей. Группировка начала применять методы социальной инженерии, известные как ClickFix. Эта тактика заключается в обмане пользователей под предлогом решения несуществующей технической проблемы, в результате чего жертвы самостоятельно запускают вредоносные команды через диалоговое окно Windows Run («Выполнить»).
Техническая цепочка атаки начинается с использования легитимной утилиты
После первоначального проникновения происходит эскалация привилегий. Скрипт развертывает вредоносный пакет MSI, который выполняется с правами SYSTEM. В папку AppData сбрасываются два ключевых файла: легитимный исполняемый файл
Центральным элементом новой стратегии Storm-0249 является техника DLL Side-loading (боковая загрузка DLL). При запуске легитимного процесса
Для дальнейшей разведки и закрепления в сети операторы используют тактику Living-off-the-Land (LotL), применяя стандартные административные утилиты Windows, такие как
Анализ инструментария Storm-0249 показывает связь с известными семействами вредоносного ПО, такими как Latrodectus и фреймворк пост-эксплуатации BruteRatel C4 (BRc4). Важной технической особенностью является привязка шифрования к уникальному идентификатору системы
Основная цель Storm-0249 — создание готового плацдарма для других киберпреступных синдикатов. Эксперты ReliaQuest характеризуют эти действия как «подготовку для аффилированных лиц вымогателей». Полученный и закрепленный доступ продается таким группам, как Storm-0501, которые затем развертывают программы-вымогатели и занимаются прямым вымогательством у скомпрометированных организаций. Таким образом, Storm-0249 обеспечивает непрерывный поток целей для индустрии кибервымогательства.
Изображение носит иллюстративный характер
В сентябре 2024 года Microsoft впервые выделила Storm-0249 как значимую угрозу, однако последние данные указывают на существенную эскалацию их возможностей. Группировка начала применять методы социальной инженерии, известные как ClickFix. Эта тактика заключается в обмане пользователей под предлогом решения несуществующей технической проблемы, в результате чего жертвы самостоятельно запускают вредоносные команды через диалоговое окно Windows Run («Выполнить»).
Техническая цепочка атаки начинается с использования легитимной утилиты
curl.exe для загрузки скрипта PowerShell. Чтобы усыпить бдительность жертвы и систем безопасности, злоумышленники используют спуфинг, маскируя источник под доверенный домен Microsoft. Вредоносный скрипт загружается с URL-адреса sgcipl[.]com/us.microsoft.com/bdo/. Использование бесфайлового метода выполнения через PowerShell позволяет атакующим действовать скрытно, минуя многие традиционные антивирусные сканеры. После первоначального проникновения происходит эскалация привилегий. Скрипт развертывает вредоносный пакет MSI, который выполняется с правами SYSTEM. В папку AppData сбрасываются два ключевых файла: легитимный исполняемый файл
SentinelAgentWorker.exe, принадлежащий защитному ПО SentinelOne, и троянизированная динамическая библиотека SentinelAgentCore.dll. Использование подписанных, доверенных компонентов безопасности для прикрытия атаки значительно усложняет обнаружение вторжения. Центральным элементом новой стратегии Storm-0249 является техника DLL Side-loading (боковая загрузка DLL). При запуске легитимного процесса
SentinelAgentWorker.exe он автоматически подгружает вредоносную библиотеку SentinelAgentCore.dll, находящуюся в той же директории. Это позволяет вредоносному коду работать в контексте доверенного процесса, устанавливать зашифрованное соединение с командным сервером (C2) и обеспечивать злоумышленникам устойчивое присутствие в системе. Для дальнейшей разведки и закрепления в сети операторы используют тактику Living-off-the-Land (LotL), применяя стандартные административные утилиты Windows, такие как
reg.exe и findstr. Поскольку эти команды выполняются от имени процесса SentinelAgentWorker.exe, их активность редко вызывает подозрения у служб мониторинга безопасности. Сочетание доверенных процессов и штатных системных инструментов делает атаку практически невидимой для автоматизированных средств защиты. Анализ инструментария Storm-0249 показывает связь с известными семействами вредоносного ПО, такими как Latrodectus и фреймворк пост-эксплуатации BruteRatel C4 (BRc4). Важной технической особенностью является привязка шифрования к уникальному идентификатору системы
MachineGuid. Этот метод, также используемый крупными группировками LockBit и ALPHV, предотвращает расшифровку файлов или реверс-инжиниринг вредоносного кода на машинах исследователей безопасности, так как ключ работает только на конкретном зараженном устройстве. Основная цель Storm-0249 — создание готового плацдарма для других киберпреступных синдикатов. Эксперты ReliaQuest характеризуют эти действия как «подготовку для аффилированных лиц вымогателей». Полученный и закрепленный доступ продается таким группам, как Storm-0501, которые затем развертывают программы-вымогатели и занимаются прямым вымогательством у скомпрометированных организаций. Таким образом, Storm-0249 обеспечивает непрерывный поток целей для индустрии кибервымогательства.
