Ваш EDR работает на врага. Новая реальность, где «белые списки» убивают инфраструктуру
NewsMakerStorm-0249 научилась прятать атаки внутри EDR-процессов, превращая защитные агенты в инструмент скрытности.
Финансово мотивированная группировка Storm-0249, известная как продавец первоначального доступа для операторов программ-вымогателей , заметно усложнила свои методы и спровоцировала новую волну тревоги среди специалистов по кибербезопасности. Специалисты ReliaQuest зафиксировали, что группа отходит от массового фишинга и переходит к точечным атакам, основанным на злоупотреблении доверенными компонентами EDR-платформ — прежде всего SentinelOne. Это позволяет злоумышленникам маскировать вредоносную активность под привычную работу защитного ПО и оставаться в инфраструктуре неделями, готовя почву для будущих атак шифровальщиков.
Если ранее Storm-0249 рассчитывала на фишинговые рассылки и простые загрузчики, то теперь её цепочки атаки включают поддельные домены Microsoft, fileless-исполнение PowerShell, передачу вредоносного кода через curl.exe и особенно — DLL sideloading рядом с подписанными файлами SentinelOne. В одном из инцидентов злоумышленники использовали мошеннический MSI-пакет, который выполняется от имени SYSTEM и подбрасывает модифицированную DLL рядом с легитимным SentinelAgentWorker.exe. Запущенный EDR-процесс сам загружает вредоносную библиотеку, а затем под его маской выполняется разведка, выводится телеметрия в сторонние домены и устанавливается связь с C2-инфраструктурой.
Особенно опасно то, что Storm-0249 научилась использовать саму EDR-агентов как транспорт для скрытых команд и каналов управления. Microsoft Defender фиксировал, как подписанный SentinelAgentWorker.exe обращается к доменам злоумышленников, зарегистрированным всего за несколько недель до атаки, но процессы, имеющие цифровую подпись и репутацию доверенного ПО, редко вызывают подозрения. В сочетании с TLS-шифрованием такие каналы становятся практически прозрачными для классических систем анализа трафика.
Группа также активно использует легитимные Windows-утилиты вроде reg.exe и findstr.exe для разведки, в том числе для получения MachineGuid — параметра, который используется многими шифровальщиками для привязки ключей шифрования к конкретному устройству. Выполняя такие команды из-под подписанного EDR-процесса, Storm-0249 полностью теряется в «шуме» обычной системной активности.
Финансово мотивированная группировка Storm-0249, известная как продавец первоначального доступа для операторов программ-вымогателей , заметно усложнила свои методы и спровоцировала новую волну тревоги среди специалистов по кибербезопасности. Специалисты ReliaQuest зафиксировали, что группа отходит от массового фишинга и переходит к точечным атакам, основанным на злоупотреблении доверенными компонентами EDR-платформ — прежде всего SentinelOne. Это позволяет злоумышленникам маскировать вредоносную активность под привычную работу защитного ПО и оставаться в инфраструктуре неделями, готовя почву для будущих атак шифровальщиков.
Если ранее Storm-0249 рассчитывала на фишинговые рассылки и простые загрузчики, то теперь её цепочки атаки включают поддельные домены Microsoft, fileless-исполнение PowerShell, передачу вредоносного кода через curl.exe и особенно — DLL sideloading рядом с подписанными файлами SentinelOne. В одном из инцидентов злоумышленники использовали мошеннический MSI-пакет, который выполняется от имени SYSTEM и подбрасывает модифицированную DLL рядом с легитимным SentinelAgentWorker.exe. Запущенный EDR-процесс сам загружает вредоносную библиотеку, а затем под его маской выполняется разведка, выводится телеметрия в сторонние домены и устанавливается связь с C2-инфраструктурой.
Особенно опасно то, что Storm-0249 научилась использовать саму EDR-агентов как транспорт для скрытых команд и каналов управления. Microsoft Defender фиксировал, как подписанный SentinelAgentWorker.exe обращается к доменам злоумышленников, зарегистрированным всего за несколько недель до атаки, но процессы, имеющие цифровую подпись и репутацию доверенного ПО, редко вызывают подозрения. В сочетании с TLS-шифрованием такие каналы становятся практически прозрачными для классических систем анализа трафика.
Группа также активно использует легитимные Windows-утилиты вроде reg.exe и findstr.exe для разведки, в том числе для получения MachineGuid — параметра, который используется многими шифровальщиками для привязки ключей шифрования к конкретному устройству. Выполняя такие команды из-под подписанного EDR-процесса, Storm-0249 полностью теряется в «шуме» обычной системной активности.