長らくランサムウェアオペレーター向けの初期侵入ブローカーとして知られてきた金銭目的グループ Storm-0249 は、その攻撃手法を大きく洗練させており、サイバーセキュリティ専門家の間で新たな警戒感を呼び起こしている。ReliaQuest のアナリストは、同グループが広範なフィッシングキャンペーンから、EDR プラットフォームの信頼されたコンポーネント――とりわけ SentinelOne――を悪用する高度に標的化された侵入へとシフトしていることを観測した。この戦略により、攻撃者は悪意ある活動を通常の防御オペレーションに偽装し、将来のランサムウェア展開に向けた準備を進めるあいだ、被害環境内に数週間にわたって潜伏し続けることが可能になる。
かつて Storm-0249 は、大量のフィッシングと単純なローダーに依存していたが、現在の攻撃チェーンでは、偽装された Microsoft ドメイン、ファイルレスな PowerShell 実行、curl.exe を介した悪意あるコードの配信、そして何よりも署名付き SentinelOne バイナリに隣接させた DLL サイドローディングが用いられている。あるインシデントでは、攻撃者は SYSTEM 権限で実行される不正な MSI パッケージを展開し、正規の SentinelAgentWorker.exe の横に改ざんされた DLL を設置した。すると EDR プロセスは忠実にその悪意あるライブラリを読み込み、その隠れ蓑の下で偵察が行われ、テレメトリが攻撃者支配下のドメインへと流出し、C2(コマンド&コントロール)インフラとの通信が確立された。
特に憂慮すべきなのは、Storm-0249 が EDR エージェント自体を秘匿されたコマンドおよび制御チャネルのトランスポートレイヤーとして利用できるようになった点である。Microsoft Defender は、署名付きの SentinelAgentWorker.exe が、侵入のわずか数週間前に攻撃者によって登録されたドメインへ接続していた事例を記録している。しかし、信頼されたデジタル署名を持つプロセスが疑念を招くことはほとんどない。TLS 暗号化と組み合わさることで、こうしたチャネルは従来型のトラフィック分析システムから事実上見えなくなってしまう。
同グループはまた、reg.exe や findstr.exe といった正規の Windows ユーティリティを広範に利用して偵察を行っており、その中には MachineGuid の取得も含まれる。MachineGuid は、多くのランサムウェアファミリーが暗号鍵を特定のデバイスに紐づけるために用いるパラメータだ。このようなコマンドを署名付き EDR プロセスの名義で実行することで、Storm-0249 は完全に通常のシステム活動の「ノイズ」に紛れ込んでしまう。
研究者らは、信頼されたプロセスの悪用が脅威状況をまったく新しいレベルへと引き上げていると警告する。エージェントの再インストールやエンドポイントの更新といった標準的な是正措置だけでは、もはや十分ではない。システムレベルの権限で動作する MSI パッケージは、多くの基本的なクリーンアップ手順を生き延びる永続的な足場を提供する。さらに、同グループが用いるテクニックは他の EDR ソリューションにも容易に適用可能であり、この問題は特定製品に限られたものではなく、システム全体に関わるものとなっている。
ReliaQuest は、Storm-0249 を封じ込めるには、振る舞い分析、自動応答機能、そして信頼されたプロセスの深い監視が不可欠だと強調する。同社が更新した GreyMatter の検知ルールは、AppData への未署名 DLL のロード、curl.exe からパイプされた PowerShell 実行、最近登録されたドメインへの接続、不審なレジストリ操作、永続化の試みなど、非典型的な挙動をあぶり出すことを狙っている。ホスト隔離、ドメインブロック、悪性ハッシュの抑止といった自動プレイブックを用いることで、対応時間を数時間から数分へと短縮し、ランサムウェアの展開を阻止できる。
専門家の間では、Storm-0249 の戦術が IAB(初期アクセスブローカー)および RaaS(Ransomware-as-a-Service)エコシステム内の他グループにとって触媒となる、との見方が広く共有されている。標的型侵入、信頼されたプロセスの悪用、そして強固な永続化の融合は、ランサムウェアのキルチェーンを大幅に加速させ、防御側が攻撃を検知・妨害できる時間的余裕を著しく狭めてしまう。そのため組織は、PowerShell と curl.exe をめぐる制御を強化し、DNS トラフィックの監視を高度化し、EDR エージェントの挙動における異常を追跡し、信頼されたプロセスから発生するいかなる異常なネットワーク活動にも即座に対応しなければならない。防御システムそのものが、敵対者によってステルス攻撃の道具として兵器化されてしまった状況では、こうした対策が決定的に重要となる。
