El actor de amenazas conocido como Tormenta-0249 Es probable que esté cambiando su función de intermediario de acceso inicial para adoptar una combinación de tácticas más avanzadas como suplantación de dominio, carga lateral de DLL y ejecución de PowerShell sin archivos para facilitar los ataques de ransomware.
«Estos métodos les permiten eludir las defensas, infiltrarse en las redes, mantener la persistencia y operar sin ser detectados, lo que genera serias preocupaciones para los equipos de seguridad», ReliaQuest dicho en un informe compartido con The Hacker News.
Storm-0249 es el apodo asignado por Microsoft a un corredor de acceso inicial que ha vendido puntos de apoyo en organizaciones a otros grupos de delitos cibernéticos, incluidos ransomware y actores de extorsión como Tormenta-0501. El gigante tecnológico lo destacó por primera vez en septiembre de 2024.
Luego, a principios de este año, Microsoft también reveló detalles de una campaña de phishing montada por el actor de amenazas que utilizó temas relacionados con impuestos para apuntar a usuarios en los EE. UU. antes de la temporada de presentación de impuestos e infectarlos con Latrodectus y el marco de post-explotación BruteRatel C4 (BRc4).
El objetivo final de estas infecciones es obtener acceso persistente a varias redes empresariales y monetizarlas vendiéndolas a bandas de ransomware, proporcionándoles un suministro listo de objetivos y acelerando el ritmo de dichos ataques.
Los últimos hallazgos de ReliaQuest demuestran un cambio táctico, donde Storm-0249 ha recurrido al uso del infame Hacer clic en arreglar Táctica de ingeniería social para engañar a objetivos potenciales para que ejecuten comandos maliciosos a través del cuadro de diálogo Ejecutar de Windows con el pretexto de resolver un problema técnico.
En este caso, el comando copiado y ejecutado aprovecha el «curl.exe» legítimo para obtener un script de PowerShell de una URL que imita un dominio de Microsoft para dar a las víctimas una falsa sensación de confianza («sgcipl[.]com/us.microsoft.com/bdo/») y ejecutarlo sin archivos a través de PowerShell.
Esto, a su vez, da como resultado la ejecución de un paquete MSI malicioso con privilegios de SISTEMA, que coloca una DLL troyanizada asociada con la solución de seguridad de endpoints de SentinelOne («SentinelAgentCore.dll») en la carpeta AppData del usuario junto con el ejecutable legítimo «SentinelAgentWorker.exe».
Al hacerlo, la idea es descargar la DLL maliciosa cuando se inicia el proceso «SentinelAgentWorker.exe», permitiendo así que la actividad permanezca sin ser detectada. Luego, la DLL establece una comunicación cifrada con un servidor de comando y control (C2).
También se ha observado que Storm-0249 utiliza utilidades administrativas legítimas de Windows como reg.exe y findstr.exe para extraer identificadores únicos del sistema como MachineGuid y sentar las bases para posteriores ataques de ransomware. El uso de tácticas de vida de la tierra (LotL), junto con el hecho de que estos comandos se ejecutan bajo el proceso confiable «SentinelAgentWorker.exe», significa que es poco probable que la actividad genere señales de alerta.
Los hallazgos indican un alejamiento de las campañas masivas de phishing hacia ataques de precisión que convierten en arma la confianza asociada con los procesos firmados para mayor sigilo.
«Esto no es sólo un reconocimiento genérico, es una preparación para los afiliados de ransomware», dijo ReliaQuest. «Los grupos de ransomware como LockBit y ALPHV utilizan MachineGuid para vincular claves de cifrado a los sistemas de las víctimas individuales».
«Al vincular las claves de cifrado a MachineGuid, los atacantes se aseguran de que incluso si los defensores capturan el binario del ransomware o intentan aplicar ingeniería inversa al algoritmo de cifrado, no podrán descifrar archivos sin la clave controlada por el atacante».
Fuente