Los actores de amenazas conocidos como Storm-0249 pueden estar pasando de su papel de intermediarios de acceso inicial a una combinación de tácticas más sofisticadas, como suplantación de dominio, descarga de DLL y ejecución de PowerShell sin archivos para facilitar los ataques de ransomware.
«Estas técnicas les permiten evadir defensas, penetrar redes, mantener la persistencia y operar sin ser detectados, lo que genera serias preocupaciones para los equipos de seguridad», dijo ReliaQuest en un informe compartido con The Hacker News.
Storm-0249 es el apodo asignado por Microsoft a un corredor de acceso temprano que ha vendido un punto de apoyo en su organización a otros grupos de delitos cibernéticos, incluidos ransomware y extorsionadores como Storm-0501. El gigante tecnológico notó esto por primera vez en septiembre de 2024.
Luego, a principios de este año, Microsoft también reveló detalles de una campaña de phishing dirigida por el atacante. La campaña aprovechó temas relacionados con impuestos para dirigirse a usuarios en los Estados Unidos antes de la temporada de presentación de impuestos y los infectó con los marcos post-exploit Latrodectus y BruteRatel C4 (BRc4).
El objetivo final de estas infecciones es obtener acceso persistente a varias redes empresariales y monetizarlas vendiéndolas a grupos de ransomware, poniéndolas a disposición de los objetivos y acelerando el ritmo de dichos ataques.
Los últimos hallazgos de ReliaQuest señalan un cambio de táctica. Storm-0249 utiliza la infame táctica de ingeniería social ClickFix para engañar a objetivos potenciales para que ejecuten comandos maliciosos a través del cuadro de diálogo Ejecutar de Windows con el pretexto de resolver problemas técnicos.
En este caso, el comando copiado y ejecutado aprovecha el «curl.exe» legítimo para obtener un script de PowerShell de una URL que imita un dominio de Microsoft, le da a la víctima una falsa sensación de confianza («sgcipl(.)com/us.microsoft.com/bdo/») y lo ejecuta sin archivos a través de PowerShell.
Esto ejecuta un paquete MSI malicioso con privilegios de SISTEMA y coloca una DLL troyanizada asociada con la solución de seguridad de endpoints de SentinelOne (‘SentinelAgentCore.dll’) en la carpeta AppData del usuario junto con el ejecutable legítimo ‘SentinelAgentWorker.exe’.
La idea es descargar una DLL maliciosa cuando se inicia el proceso ‘SentinelAgentWorker.exe’, haciendo así que la actividad sea indetectable. Luego, la DLL establece una comunicación cifrada con un servidor de comando y control (C2).
También se ha observado que Storm-0249 aprovecha utilidades administrativas legítimas de Windows, como reg.exe y findstr.exe, para extraer identificadores únicos del sistema, como MachineGuid, sentando las bases para posteriores ataques de ransomware. El uso de tácticas de vida de la tierra (LotL) y el hecho de que estos comandos se ejecutan bajo el proceso confiable «SentinelAgentWorker.exe» significa que es poco probable que esta actividad genere señales de alerta.
Este hallazgo marca un cambio de campañas de phishing a gran escala a ataques de precisión que utilizan como arma la confianza asociada con los procesos firmados para aumentar el sigilo.
«Esto no es sólo un reconocimiento general, sino una preparación para los afiliados de ransomware», dijo ReliaQuest. «Los grupos de ransomware como LockBit y ALPHV utilizan MachineGuid para vincular claves de cifrado a los sistemas de las víctimas individuales».
«Al vincular las claves de cifrado a MachineGuid, los atacantes se aseguran de que incluso si los defensores capturan los archivos binarios del ransomware o intentan aplicar ingeniería inversa a los algoritmos de cifrado, no podrán descifrar los archivos sin las claves controladas por el atacante».
Source link
