Un courtier d’accès initial suivi sous le nom de Storm-0249 abuse des solutions de détection et de réponse des points de terminaison et des utilitaires Microsoft Windows fiables pour charger des logiciels malveillants, établir la communication et la persistance en préparation d’attaques de ransomware.
L’auteur de la menace est allé au-delà du phishing de masse et a adopté des méthodes plus furtives et plus avancées qui s’avèrent efficaces et difficiles à contrer pour les défenseurs, même si elles sont bien documentées.
Dans une attaque analysée par des chercheurs de la société de cybersécurité ReliaQuest, Storm-0249 a exploité les composants SentinelOne EDR pour masquer les activités malveillantes. Cependant, les chercheurs disent que la même méthode fonctionne également avec d’autres produits EDR.
Abus de Sentinélone EDR
ReliaQuest dit que l’attaque Storm-0249 a commencé avec l’ingénierie sociale ClickFix qui a incité les utilisateurs à coller et à exécuter des commandes curl dans la boîte de dialogue Exécuter de Windows pour télécharger un package MSI malveillant avec des privilèges SYSTÈME.
Un script PowerShell malveillant est également récupéré à partir d’un domaine Microsoft usurpé, qui est acheminé directement vers la mémoire du système, ne touchant jamais le disque et échappant ainsi à la détection antivirus.
Le fichier MSI supprime une DLL malveillante (SentinelAgentCore.dll). Selon les chercheurs, « cette DLL est placée stratégiquement aux côtés du SentinelAgentWorker préexistant et légitime.exe, qui est déjà installé dans le cadre de SentinelOne EDR de la victime. »
Ensuite, l’attaquant charge la DLL à l’aide du SentinelAgentWorker signé (chargement latéral de la DLL), exécute le fichier dans le processus EDR privilégié et de confiance et obtient une persistance furtive qui survit aux mises à jour du système d’exploitation.
« Le processus légitime fait tout le travail, exécutant le code de l’attaquant, apparaissant comme une activité sentinelle de routine aux outils de sécurité et contournant la détection », explique ReliaQuest.
Une fois que l’attaquant obtient l’accès, il utilise le composant SentinelOne pour collecter les identifiants système via des utilitaires Windows légitimes tels que reg.exe et recherche.exe, et pour canaliser le trafic de commande et de contrôle HTTPS chiffré (C2).
Les requêtes du Registre et les recherches de chaînes déclencheraient normalement des alarmes, mais lorsqu’elles sont effectuées à partir d’un processus EDR approuvé, elles sont traitées comme une routine et ignorées par les mécanismes de sécurité.
ReliaQuest explique que les systèmes compromis sont profilés à l’aide de « MachineGuid », un identifiant matériel unique que les groupes de ransomwares comme LockBit et ALPHV utilisent pour lier les clés de cryptage à des victimes spécifiques.
Cela suggère que Storm-0249 effectue des compromis d’accès initiaux adaptés aux besoins de ses clients typiques, les affiliés ransomware.
L’abus de processus EDR approuvés et signés contourne presque toutes les surveillances traditionnelles. Les chercheurs recommandent aux administrateurs système de s’appuyer sur une détection basée sur le comportement qui identifie les processus de confiance chargeant des DLL non signées à partir de chemins non standard.
De plus, il est utile de définir des contrôles plus stricts pour l’exécution de curl, PowerShell et LoLBin.