初期アクセスブローカーであるStorm-0249は、大量フィッシングオペレーションから進化し、正規のエンドポイント検知・応答(EDR)プロセスをサイドローディング手法によって兵器化し、悪意ある活動を日常的なセキュリティ運用に見せかけて隠蔽する高度な脅威アクターとなっています。
これはグループの能力における重大なエスカレーションであり、従来型の防御メカニズムに依存している組織にとって深刻なリスクとなります。
ReliaQuestの研究者はSentinelOneと協力し、Storm-0249が信頼された署名付き実行ファイル、特にSentinelOneのSentinelAgentWorker.exeを悪用して、検知を回避しながら悪意あるペイロードを実行する手口を文書化しました。
観測されたテクニックは他のEDRプラットフォームにも容易に適用可能であり、これは業界横断的な脅威としてセキュリティチームによる即時の対応が求められます。
Storm-0249の最近の攻撃手法は、まずClickFix攻撃から始まります。これは、Windowsの「ファイル名を指定して実行」ダイアログを通じてエンコードされたコマンドを実行するようユーザーを誘導するソーシャルエンジニアリング手法です。初期アクセスが確立されると、攻撃は3つの連携したフェーズを通じて展開されます。
第1フェーズでは、IT管理者がアップデートのダウンロードやAPIテストに一般的に使用する、Windowsに標準搭載された正規ユーティリティであるcurl.exeが悪用されます。
curl.exeがセキュリティアラートを引き起こすことは稀であるため、攻撃者は偽装したMicrosoftドメインから悪意あるPowerShellスクリプトをメモリ上に直接パイプします。
攻撃者はペイロードを攻撃者管理のインフラ上にホストしますが、URLの前に偽の /us.microsoft.com/ パスを付与して、正規のMicrosoftソースを装います。このファイルレス実行手法により、悪意あるコードがディスクに書き込まれることがないため、シグネチャベースのアンチウイルス製品を完全に回避します。
第2フェーズでは、Windows InstallerのSYSTEMレベル権限を悪用するトロイの木馬化されたMSIパッケージが配布されます。
このパッケージには、正規のSentinelOne EDRコンポーネントを装った悪意あるDLLが含まれており、アラートノイズを減らすために厳格なセキュリティ監視から除外されることの多い場所であるAppDataフォルダに戦略的に配置されます。
正規のSentinelOne実行ファイルが起動すると、正規版ではなく攻撃者の悪意あるDLLを読み込んでしまいます。これはDLLサイドローディングとして知られる手法であり、攻撃を日常的なセキュリティソフトウェアの挙動に見せかけます。
攻撃ベクターへと変貌するセキュリティソフトウェア
Storm-0249が信頼されたEDRプロセスを悪用できることの意味は極めて重大です。デジタル署名された実行ファイルを乗っ取ることで、このグループはセキュリティソフトウェアを攻撃ベクターへと変貌させます。
ネットワーク監視ツールは、侵害されたSentinelAgentWorker.exeが新規登録ドメインに対してC2(コマンド&コントロール)通信を確立していることを観測しますが、そのプロセスが許可され、かつデジタル署名されているため信頼してしまいます。
攻撃者はC2トラフィックをTLSで暗号化し、ディープパケットインスペクションやSSLインスペクション装置から事実上不可視にします。
これにより、従来の境界防御の大部分が無力化される一方で、オペレーターはマルウェアの暗号鍵やペイロードの指示を検知されることなく送信できるようになります。
初期侵害の後、Storm-0249はreg.exeやfindstr.exeといった正規のWindowsユーティリティを用いて偵察を行い、MachineGuidを含むシステム識別子を抽出します。
防御上の必須事項
このデータはランサムウェアアフィリエイトにとって極めて重要です。LockBitやALPHVのようなグループは、MachineGuidを用いて暗号鍵を個々の被害システムに紐付けるためです。
この情報を確保することで、Storm-0249は事前にプロファイルされた標的をランサムウェアの顧客に提供し、身代金要求までの時間を数週間から数日に劇的に短縮します。
組織は、DLLサイドローディングのような異常を検知するための振る舞い分析を実装し、新規登録ドメイン(登録後30〜90日未満)を監視し、curl.exeやPowerShellといった正規ツールに対して厳格な制御を適用しなければなりません。
侵害ホストの隔離、悪意あるドメインのブロック、既知の悪性ハッシュの実行防止を行う自動化されたインシデントレスポンスプレイブックも不可欠です。
Storm-0249の進化は、従来のシグネチャベース防御だけでは不十分であることを示しています。
セキュリティチームは、信頼されたプロセスに対する可視性を優先し、振る舞い監視を実装し、ネットワークセグメンテーションを維持することで、ランサムウェアが展開される前にこうした高度な攻撃を阻止しなければなりません。
IOC(侵害の痕跡)
| アーティファクト | タイプ | 詳細 |
|---|---|---|
07c5599b9bb00feb70c2d5e43b4b76f228866930 |
SHA-1ハッシュ | “SentinelAgentCore”という名称の悪意あるDLL(DLLサイドローディングに使用) |
423f2fcf7ed347ee57c1a3cffa14099ec16ad09c |
SHA-1ハッシュ | Spear.msi(悪意あるインストーラー) |
krivomadogolyhp[.]com |
ドメイン | C2ドメイン |
hristomasitomasdf[.]com |
ドメイン | C2ドメイン |
hamcore[.]se2 |
ファイル/リソース* | C2ドメイン(SoftEther VPNの設定ファイルまたはアーティファクトへの参照である可能性)* |
sgcipl[.]com |
ドメイン | C2ドメイン(偽装Microsoftドメインとして使用) |
178.16.52[.]145 |
IPアドレス | 悪意あるIPアドレス |
172.67.206[.]124 |
IPアドレス | 悪意あるIPアドレス |
翻訳元: https://gbhackers.com/storm-0249-edr/
