Um grupo de initial access brokers, identificado como Storm-0249, está explorando soluções de endpoint detection and response (EDR) e utilitários legítimos do Microsoft Windows para carregar malware, estabelecer comunicação e garantir persistência, preparando ataques de ransomware.
Esse ator de ameaça evoluiu além do phishing em massa, adotando métodos mais furtivos e sofisticados, que se mostram eficazes e difíceis de detectar, mesmo quando já são bem documentados.
Em um ataque analisado por pesquisadores da empresa de cibersegurança ReliaQuest, o Storm-0249 utilizou componentes do SentinelOne EDR para camuflar suas atividades maliciosas.
Os especialistas afirmam que essa técnica também funciona com outras soluções EDR.
Segundo a ReliaQuest, o ataque começou com um esquema de engenharia social do tipo ClickFix, que induziu usuários a colar e executar comandos curl na caixa de diálogo do Windows Run para baixar um pacote malicioso no formato MSI, com privilégios SYSTEM.
Além disso, um script PowerShell malicioso foi baixado de um domínio falso da Microsoft e executado diretamente na memória do sistema, sem gravação no disco, o que permite escapar da detecção por antivírus.
O arquivo MSI instala uma DLL maliciosa chamada SentinelAgentCore.dll.
Conforme detalham os pesquisadores, essa DLL é posicionada estrategicamente ao lado do executável legítimo SentinelAgentWorker.exe, instalado como parte do SentinelOne EDR da vítima.
Em seguida, o invasor carrega a DLL via sideloading, utilizando o SentinelAgentWorker assinado digitalmente.
Dessa forma, o código malicioso é executado dentro do processo EDR confiável e com privilégios elevados, garantindo persistência furtiva que resiste a atualizações do sistema operacional.
“O processo legítimo executa todo o trabalho, rodando o código do invasor e aparecendo para as ferramentas de segurança como uma atividade rotineira do SentinelOne, evitando a detecção”, explica a ReliaQuest.
Após obter acesso, o atacante utiliza o componente do SentinelOne para coletar identificadores do sistema por meio de utilitários legítimos do Windows, como reg.exe e findstr.exe, e para canalizar o tráfego HTTPS de comando e controle (C2) criptografado.
Consultas ao registro e buscas por strings normalmente acionariam alertas, mas, quando feitas por um processo EDR confiável, são vistas como operações normais e ignoradas pelos mecanismos de segurança.
Os pesquisadores destacam que os sistemas comprometidos são identificados pelo ‘MachineGuid’, um identificador único baseado no hardware, utilizado por grupos de ransomware como LockBit e ALPHV para vincular chaves de criptografia às vítimas específicas.
Esse padrão indica que o Storm-0249 realiza compromissos de acesso inicial customizados para atender às demandas típicas de seus clientes, afiliados ao ransomware.
O abuso de processos EDR assinados e confiáveis dificulta praticamente toda a monitoração tradicional.
Por isso, a recomendação é que administradores adotem detecções baseadas em comportamento, capazes de identificar processos confiáveis que carregam DLLs não assinadas em caminhos não convencionais.
Além disso, é importante implementar controles mais rigorosos para a execução de curl, PowerShell e ferramentas legítimas conhecidas como LoLBins (Living-off-the-Land Binaries).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...