Storm-0249として追跡されている初期アクセスブローカーが、エンドポイント検知・応答(EDR)ソリューションと信頼されたMicrosoft Windowsユーティリティを悪用し、マルウェアの読み込み、通信の確立、および永続化を行い、ランサムウェア攻撃の準備を進めています。
この脅威アクターは、大量フィッシングの段階を超え、よりステルス性が高く高度な手法を採用しており、十分に文書化されているにもかかわらず、防御側にとって有効な対抗策を講じることが難しい状況となっています。
サイバーセキュリティ企業ReliaQuestの研究者が分析したある攻撃では、Storm-0249はSentinelOne EDRコンポーネントを悪用して悪意ある活動を隠蔽していました。しかし、研究者によると、同じ手法は他のEDR製品でも機能するとのことです。
SentinelOne EDRの悪用
ReliaQuestによると、Storm-0249の攻撃はClickFixによるソーシャルエンジニアリングから始まり、ユーザーをだましてWindowsの「ファイル名を指定して実行」ダイアログにcurlコマンドを貼り付けて実行させ、SYSTEM権限で悪意あるMSIパッケージをダウンロードさせていました。
また、偽装されたMicrosoftドメインから悪意あるPowerShellスクリプトも取得され、ディスクには一切書き込まれずにシステムメモリ上に直接パイプされるため、アンチウイルス検知を回避します。
MSIファイルは悪意あるDLL(SentinelAgentCore.dll)をドロップします。研究者によれば、「このDLLは、被害者のSentinelOne EDRの一部としてすでにインストールされている正規のSentinelAgentWorker.exeの横に、戦略的に配置されます。」
次に、攻撃者は署名済みのSentinelAgentWorkerを利用してDLLをロード(DLLサイドローディング)し、信頼された特権EDRプロセス内でファイルを実行することで、OSアップデート後も生き残るステルス性の高い永続化を獲得します。
「正規プロセスがすべての処理を行い、攻撃者のコードを実行しつつ、セキュリティツールからは日常的なSentinelOneの活動に見えるため、検知を回避できます」とReliaQuestは説明しています。
出典: ReliaQuest
攻撃者がアクセスを獲得すると、SentinelOneコンポーネントを利用して、reg.exeやfindstr.exeといった正規のWindowsユーティリティを通じてシステム識別子を収集し、暗号化されたHTTPSのコマンド&コントロール(C2)トラフィックを中継します。
通常であればレジストリクエリや文字列検索はアラートを引き起こしますが、信頼されたEDRプロセス内から実行される場合、それらは日常的な処理として扱われ、セキュリティメカニズムによって無視されます。
ReliaQuestは、侵害されたシステムは「MachineGuid」という一意のハードウェアベース識別子を用いてプロファイリングされると説明しています。これは、LockBitやALPHVのようなランサムウェアグループが、特定の被害者に暗号鍵を紐づけるために利用しているものです。
このことから、Storm-0249は、典型的な顧客であるランサムウェアアフィリエイトのニーズに合わせて、初期アクセスの侵害を行っていることが示唆されます。
信頼された署名付きEDRプロセスの悪用は、従来型のほぼすべての監視を迂回します。研究者らは、システム管理者に対し、信頼されたプロセスが非標準パスから署名されていないDLLを読み込む挙動を検知する、振る舞いベースの検出に依拠することを推奨しています。
さらに、curl、PowerShell、およびLoLBinの実行に対して、より厳格な制御を設定することが有用です。
