Il gruppo cybercriminale noto come Storm-0249 sta evolvendo le proprie strategie, abbandonando il solo ruolo di broker di accessi iniziali per adottare tecniche sofisticate come il domain spoofing, il DLL sideloading e l'esecuzione fileless tramite PowerShell, con l'obiettivo di facilitare attacchi ransomware particolarmente insidiosi. Queste nuove tattiche consentono agli attaccanti di eludere i sistemi di difesa, penetrare nelle reti, mantenere la persistenza e operare senza essere rilevati, aumentando notevolmente le sfide per i team di sicurezza informatica.
Storm-0249 come broker di accessi e campagne recenti
Storm-0249 è stato identificato come un broker che vende accessi compromessi ad altre organizzazioni criminali, tra cui gruppi dediti al ransomware e all'estorsione come Storm-0501. Negli ultimi mesi, le attività del gruppo hanno incluso campagne di phishing mirate, sfruttando tematiche fiscali e strumenti come Latrodectus e il framework BruteRatel C4 per ottenere accessi persistenti alle reti aziendali. Questi accessi vengono successivamente monetizzati vendendoli a gang di ransomware, accelerando la diffusione degli attacchi.
La tecnica ClickFix e l’attacco fileless
Recentemente, Storm-0249 ha adottato la tecnica di social engineering nota come ClickFix, inducendo le vittime a eseguire comandi dannosi attraverso la finestra “Esegui” di Windows, simulando la necessità di risolvere un problema tecnico. Il comando utilizza “curl.exe” per scaricare uno script PowerShell da un dominio falsificato che imita quello di Microsoft, al fine di creare un falso senso di sicurezza e implementare l'attacco in modalità fileless, difficile da individuare.
DLL sideloading e comunicazione C2
La sequenza d'attacco prevede poi l'esecuzione di un pacchetto MSI malevolo con privilegi di sistema, che installa una DLL trojanizzata (ad esempio, “SentinelAgentCore.dll” legata a soluzioni di sicurezza endpoint come SentinelOne) insieme a un eseguibile legittimo. Così, quando viene avviato il processo “SentinelAgentWorker.exe”, la DLL malevola viene caricata in modo invisibile e stabilisce una comunicazione crittografata con un server di comando e controllo.
Tecniche avanzate di elusione e uso del MachineGuid
Storm-0249 sfrutta anche strumenti amministrativi di Windows, come reg.exe e findstr.exe, per estrarre identificatori unici del sistema (MachineGuid), fondamentali per attacchi ransomware successivi. Queste attività, eseguite tramite processi affidabili e firmati, sfruttano la tecnica living-off-the-land, risultando così difficilmente rilevabili dagli strumenti di difesa tradizionali.
Dall’attacco di massa alla precisione mirata
Il passaggio da campagne di phishing di massa ad attacchi di precisione, che sfruttano la fiducia nei processi firmati, rappresenta una minaccia crescente. Legare le chiavi di cifratura al MachineGuid impedisce alle vittime di recuperare i dati senza la chiave in possesso degli attaccanti, anche se il malware viene analizzato o decifrato.
