Storm-0249 leo thang tấn công Ransomware bằng ClickFix, Fileless PowerShell

[T-X]

Nhóm tội phạm mạng Storm-0249 có khả năng đang chuyển từ vai trò là một trung gian truy cập ban đầu sang áp dụng kết hợp các chiến thuật tiên tiến hơn như giả mạo tên miền, tải DLL trái phép và thực thi PowerShell không cần tệp để thực hiện các cuộc tấn công mã độc tống tiền.

ReliaQuest cho biết trong một báo cáo chia sẻ với The Hacker News: "Những phương pháp này cho phép chúng vượt qua hàng phòng thủ, xâm nhập vào mạng, duy trì sự tồn tại và hoạt động mà không bị phát hiện, gây ra mối lo ngại nghiêm trọng cho các nhóm bảo mật".

Storm-0249 là tên gọi mà Microsoft đặt cho một phần mềm môi giới truy cập ban đầu (IAC) chuyên bán quyền truy cập vào các tổ chức cho các nhóm tội phạm mạng khác, bao gồm cả các nhóm tống tiền và mã độc tống tiền như Storm-0501. Tên gọi này lần đầu tiên được gã khổng lồ công nghệ này đề cập vào tháng 9 năm 2024.

Đầu năm nay, Microsoft cũng tiết lộ chi tiết về một chiến dịch lừa đảo qua email do nhóm tin tặc thực hiện, sử dụng các chủ đề liên quan đến thuế để nhắm mục tiêu vào người dùng ở Mỹ trước mùa kê khai thuế và lây nhiễm cho họ phần mềm độc hại Latrodectus và khung khai thác hậu kỳ BruteRatel C4 (BRc4).

Mục tiêu cuối cùng của các vụ lây nhiễm này là có được quyền truy cập liên tục vào nhiều mạng doanh nghiệp khác nhau và kiếm tiền bằng cách bán chúng cho các băng nhóm ransomware, cung cấp cho chúng nguồn mục tiêu sẵn có và đẩy nhanh tốc độ của các cuộc tấn công như vậy.

Những phát hiện mới nhất từ ReliaQuest cho thấy một sự thay đổi chiến thuật, trong đó Storm-0249 đã sử dụng thủ đoạn tấn công phi kỹ thuật ClickFix khét tiếng để lừa các mục tiêu tiềm năng chạy các lệnh độc hại thông qua hộp thoại Run của Windows với lý do giải quyết sự cố kỹ thuật.

Trong trường hợp này, lệnh được sao chép và thực thi sử dụng công cụ "curl.exe" hợp pháp để tải một tập lệnh PowerShell từ một URL giả mạo tên miền của Microsoft nhằm tạo cho nạn nhân cảm giác tin tưởng sai lầm ("sgcipl[.]com/us.microsoft.com/bdo/") và thực thi nó theo cách không cần tệp thông qua PowerShell.

Điều này dẫn đến việc thực thi một gói MSI độc hại với quyền SYSTEM, gói này sẽ thả một DLL bị nhiễm mã độc liên quan đến giải pháp bảo mật điểm cuối của SentinelOne ("SentinelAgentCore.dll") vào thư mục AppData của người dùng cùng với tệp thực thi hợp pháp "SentinelAgentWorker.exe".

Khi thực hiện việc này, ý tưởng là tải trực tiếp DLL giả mạo khi tiến trình "SentinelAgentWorker.exe" được khởi chạy, nhờ đó hoạt động này không bị phát hiện. Sau đó, DLL sẽ thiết lập giao tiếp được mã hóa với máy chủ chỉ huy và điều khiển (C2).

Storm-0249 cũng được phát hiện sử dụng các tiện ích quản trị Windows hợp pháp như reg.exe và findstr.exe để trích xuất các mã định danh hệ thống duy nhất như MachineGuid nhằm tạo tiền đề cho các cuộc tấn công ransomware tiếp theo. Việc sử dụng các chiến thuật "sống dựa vào nguồn lực sẵn có" (LotL), cùng với việc các lệnh này được chạy dưới tiến trình "SentinelAgentWorker.exe" đáng tin cậy, có nghĩa là hoạt động này khó có thể gây ra bất kỳ cảnh báo nào.

Những phát hiện này cho thấy sự chuyển hướng từ các chiến dịch lừa đảo hàng loạt sang các cuộc tấn công chính xác lợi dụng lòng tin liên quan đến các quy trình đã ký để tăng thêm tính ẩn danh.

"Đây không chỉ là hoạt động trinh sát thông thường – mà là sự chuẩn bị cho các chi nhánh của ransomware," ReliaQuest cho biết. "Các nhóm ransomware như LockBit và ALPHV sử dụng MachineGuid để liên kết các khóa mã hóa với từng hệ thống của nạn nhân."

"Bằng cách liên kết các khóa mã hóa với MachineGuid, kẻ tấn công đảm bảo rằng ngay cả khi người phòng thủ thu thập được tệp nhị phân của phần mềm tống tiền hoặc cố gắng phân tích ngược thuật toán mã hóa, họ cũng không thể giải mã các tệp nếu không có khóa do kẻ tấn công kiểm soát."