کمیته رکن چهارم – گروه تهدید Storm-0249 با تغییر رویکرد خود به سمت تکنیکهای پیشرفتهای مانند اجرای بدون فایل پاورشل، سایدلودینگ DLL و فریب کاربران با روش ClickFix، موج جدیدی از حملات باجافزاری را آغاز کرده است. این گروه که پیشتر به عنوان فروشنده دسترسی اولیه فعالیت داشت، اکنون بهطور مستقیم در مراحل اجرایی حملات نقش دارد.
به گزارش کمیته رکن چهارم، شرکت امنیتی ReliaQuest اعلام کرد Storm-0249 با بهرهگیری از ابزارهای قانونی ویندوز مانند curl.exe، اسکریپتهای مخرب را از دامنههای جعلی دریافت کرده و بهصورت مخفیانه در حافظه اجرا میکند. در یکی از سناریوها، کاربران با پیامهای فریبدهنده به اجرای دستی دستورات در Run ترغیب میشوند که منجر به نصب یک فایل MSI مخرب میشود.
این فایل MSI با قرار دادن DLL مخرب SentinelAgentCore.dll در کنار فایل اجرایی قانونی SentinelAgentWorker.exe، فرآیند بارگذاری سایدلود شدهای را آغاز میکند که ارتباط رمزگذاریشده با سرور فرمان و کنترل برقرار میکند. همزمان ابزارهایی مانند reg.exe و findstr.exe برای استخراج MachineGuid سیستم قربانی مورد استفاده قرار میگیرند.
کاربرد MachineGuid در رمزگذاری فایلها باعث میشود رمزگشایی تنها با کلید مهاجم ممکن باشد، حتی در صورت تحلیل کامل بدافزار. این نشانهای از برنامهریزی دقیق و بهرهگیری از تکنیکهای پیشرفته مخفیسازی است که قابلیت شناسایی آن را برای سیستمهای دفاعی کاهش میدهد.
تحلیلها نشان میدهد که این گروه بهجای حملات انبوه، اکنون بر مهندسی اجتماعی و اجرای هدفمند عملیات تمرکز دارد که چالشی جدی برای تیمهای امنیتی سازمانها به شمار میرود.
