Minaccia Informatica: Storm-0249 Cambia Tattica

Un nuovo rapporto di ReliaQuest rivela che l’Hacker noto come Storm-0249 sta passando da un ruolo di broker di accesso iniziale a tattiche più avanzate, come lo spoofing di dominio, il caricamento laterale di DLL e l’esecuzione di PowerShell senza file, per facilitare gli attacchi di ransomware. Questi metodi consentono loro di bypassare le difese, infiltrarsi nelle reti, mantenere la persistenza e operare senza essere rilevati, sollevando gravi preoccupazioni per i team di sicurezza.

Storm-0249 è stato identificato da Microsoft come un broker di accesso iniziale che vende punti di accesso a organizzazioni ad altri gruppi di cybercrime, tra cui attori di ransomware ed estorsione come Storm-0501. Nel settembre 2024, Microsoft ha pubblicato un rapporto su una campagna di phishing che utilizzava temi relativi alle tasse per targetizzare utenti negli Stati Uniti e infettarli con il framework post-exploitation Latrodectus e BruteRatel C4 (BRc4). L’obiettivo finale di queste infezioni è ottenere un accesso persistente a varie reti aziendali e monetizzarle vendendole a gang di ransomware.

I risultati più recenti di ReliaQuest mostrano un cambiamento tattico, in cui Storm-0249 utilizza la tecnica di social engineering ClickFix per ingannare le vittime potenziali e far loro eseguire comandi dannosi tramite il dialog di esecuzione di Windows. Ciò porta all’esecuzione di un pacchetto MSI dannoso con privilegi di sistema, che deposita una DLL Trojanizzata associata alla soluzione di sicurezza endpoint di SentinelOne (SentinelAgentCore.dll) nella cartella AppData dell’utente, insieme all’eseguibile legittimo SentinelAgentWorker.exe. Questo consente di caricare la DLL dannosa quando il processo SentinelAgentWorker.exe viene avviato, mantenendo l’attività non rilevata.