知名威胁行为体 Storm-0249 正从 “初始访问中介” 角色转型,开始整合域名欺骗、DLL 劫持、无文件 PowerShell 执行等更高级攻击战术,以协助实施勒索软件攻击。
“这些手段使其能够绕过防御系统、渗透网络、维持持久控制并隐蔽运作,给安全团队带来严重隐患,”ReliaQuest 在分享给《黑客新闻》(The Hacker News)的报告中表示。
Storm-0249 是微软为某初始访问中介分配的代号,该组织曾向勒索软件团伙、勒索攻击者(如 Storm-0501)等其他网络犯罪集团出售企业网络访问权限。微软于 2024 年 9 月 首次公开披露该组织的相关活动。
今年早些时候,微软还曝光了该威胁行为体发起的一场钓鱼攻击活动:攻击者以税务相关主题为诱饵,在美国报税季前夕针对美国用户实施攻击,植入 Latrodectus 恶意软件与 BruteRatel C4(BRc4)后渗透框架。
此类攻击的最终目标是获取多个企业网络的持久访问权限,并通过将这些权限出售给勒索软件团伙实现变现 —— 这为勒索软件集团提供了稳定的攻击目标来源,同时加速了勒索攻击的实施节奏。
ReliaQuest 的最新研究发现,Storm-0249 出现战术转型:该组织开始滥用臭名昭著的 ClickFix 社会工程战术,以 “解决技术问题” 为借口,诱骗目标用户通过 Windows 运行对话框(Run dialog)执行恶意命令。
在该攻击场景中,攻击者通过命令复制执行合法工具 curl.exe,从一个仿冒微软域名的链接(
sgcipl[.]com/us.microsoft.com/bdo/)下载 PowerShell 脚本(虚假域名旨在获取受害者信任),并通过 PowerShell 以无文件方式执行该脚本。这一操作会进一步触发恶意 MSI 安装包以 SYSTEM 权限运行,随后在用户的 AppData 文件夹中释放一个伪造的 SentinelOne 终端安全解决方案相关 DLL 文件(
SentinelAgentCore.dll),同时植入合法的 SentinelAgentWorker.exe 可执行文件。攻击者的核心意图是:当
SentinelAgentWorker.exe 进程启动时,通过DLL 劫持加载恶意 DLL,从而实现隐蔽运作。该恶意 DLL 随后会与命令与控制(C2)服务器建立加密通信。研究还发现,Storm-0249 会利用
reg.exe、findstr.exe 等合法 Windows 管理工具,提取 MachineGuid 等唯一系统标识符,为后续勒索软件攻击奠定基础。这种驻留内存(LotL)战术,加之所有命令均通过受信任的 SentinelAgentWorker.exe 进程执行,使得攻击行为难以触发安全告警。研究结果表明,Storm-0249 已从 “大规模钓鱼攻击” 转向 “精准攻击”—— 通过滥用已签名进程的信任度,进一步提升攻击的隐蔽性。
“这并非普通的侦察行为,而是在为勒索软件附属团伙做准备,”ReliaQuest 指出,“LockBit、ALPHV 等勒索软件集团会利用 MachineGuid 将加密密钥与受害者的单个系统绑定。”
“通过将加密密钥与 MachineGuid 关联,攻击者可确保:即便防御者获取了勒索软件样本或尝试逆向破解加密算法,若没有攻击者控制的密钥,也无法解密文件。”
发表评论
您还未登录,请先登录。
登录