El actor de amenazas conocido como Tormenta-0249 es probable que esté dejando de desempeñar su función de agente de acceso inicial para adoptar una combinación de tácticas más avanzadas, como la suplantación de dominios, la carga lateral de DLL y la ejecución de PowerShell sin archivos para facilitar los ataques de ransomware.
«Estos métodos les permiten eludir las defensas, infiltrarse en las redes, mantener la persistencia y operar sin ser detectados, lo que genera graves preocupaciones para los equipos de seguridad», dijo ReliaQuest dijo en un informe compartido con The Hacker News.
Storm-0249 es el apodo asignado por Microsoft a un agente de acceso inicial que ha vendido puntos de apoyo en organizaciones a otros grupos de ciberdelincuencia, incluidos actores de ransomware y extorsión como Tormenta-0501 . El gigante tecnológico lo destacó por primera vez en septiembre de 2024.
Luego, a principios de este año, Microsoft también revelada detalles de una campaña de suplantación de identidad organizada por el actor de amenazas que utilizó temas relacionados con los impuestos para atacar a los usuarios estadounidenses antes de la temporada de presentación de impuestos e infectarlos con Latrodectus y el marco posterior a la explotación BruteRatel C4 (BRc4).
El objetivo final de estas infecciones es obtener acceso persistente a varias redes empresariales y monetizarlas vendiéndolas a bandas de ransomware, proporcionándoles un suministro inmediato de objetivos y acelerando el ritmo de dichos ataques.
Los últimos hallazgos de ReliaQuest demuestran un cambio táctico, en el que Storm-0249 ha recurrido al uso del infame Haga clic en Fijar táctica de ingeniería social para engañar a posibles objetivos para que ejecuten comandos maliciosos a través del cuadro de diálogo Ejecutar de Windows con el pretexto de resolver un problema técnico.
En este caso, el comando copiado y ejecutado aprovecha el "curl.exe" legítimo para obtener un script de PowerShell de una URL que imita un dominio de Microsoft para dar a las víctimas una falsa sensación de confianza («sgcipl [.] com/us.microsoft.com/bdo/») y ejecutarlo sin archivos a través de PowerShell.
Esto, a su vez, provoca la ejecución de un paquete MSI malintencionado con privilegios SYSTEM, que coloca una DLL troyanizada asociada a la solución de seguridad de terminales de SentinelOne (» SentinelAgentCore.dll «) en la carpeta AppData del usuario junto con el ejecutable legítimo" SentinelAgentWorker.exe».
Al hacerlo, la idea es descargar la DLL falsa cuando se inicie el proceso "SentinelAgentWorker.exe», lo que permitirá que la actividad pase desapercibida. A continuación, la DLL establece una comunicación cifrada con un servidor de comando y control (C2).
También se ha observado que Storm-0249 utiliza utilidades administrativas legítimas de Windows, como reg.exe y findstr.exe, para extraer identificadores únicos del sistema, como MachineGUID, a fin de sentar las bases para los siguientes ataques de ransomware. El uso de tácticas basadas en la práctica de vivir de la tierra (LotL), sumado al hecho de que estos comandos se ejecutan siguiendo el fiable proceso "SentinelAgentWorker.exe", significa que es poco probable que esta actividad genere señales de alerta.
Los hallazgos indican que se está pasando de las campañas de suplantación de identidad masivas a los ataques de precisión que utilizan como arma la confianza asociada a los procesos firmados para aumentar el sigilo.
«No se trata solo de un reconocimiento genérico, sino de una preparación para las filiales del ransomware», afirma ReliaQuest. «Los grupos de ransomware como LockBit y ALPHV utilizan MachineGUID para vincular las claves de cifrado a los sistemas individuales de las víctimas».
«Al vincular las claves de cifrado a MachineGUID, los atacantes se aseguran de que, aunque los defensores capturen el binario del ransomware o intenten aplicar ingeniería inversa al algoritmo de cifrado, no puedan descifrar los archivos sin la clave controlada por el atacante».