Storm-0249 и криминальный DevOps

ClickFix, fileless-магия и DLL-подмена в новой волне рейдов

Storm-0249, раньше известный как такой себе перекупщик взломанных входов, похоже, решил сменить карьерную дорожку и теперь играет уже не в подворотнях дарквеба, а в высшей лиге криминального DevOps. Команда, которую Microsoft давно пометила как поставщиков «доступа оптом», по-тихому двинулась в сторону собственных, куда более прожаренных атак, включая подготовку к полноценным рансом-выжиганиям. Никаких спамных рыбачьих сетей — теперь это точечный хантинг, где каждый выстрел ставит галочку в чей-то CMDB.

Эксперты ReliaQuest вскрыли свежий набор финтов, демонстрирующий, что Storm-0249 больше не играет роль скромного посредника, а собирается раздавать виртуальные подзатыльники лично. Основные фишки: доменные подделки под Microsoft, DLL-сайдлоад в стиле «мы ничего не трогали, это агент безопасности сам запустился», и fileless-экзекуции на PowerShell, которые проскакивают мимо всех классических сенсоров.

Главный трюк этого сезона — обманка ClickFix. Старый добрый приём: жертве говорят, что «сломалось что-то важное», предлагают копипастнуть магическую строку в Win+R, и человек, которому пора выдать премию за доверчивость, запускает себе curl.exe, который тут же подтягивает PowerShell-скрипт с поддельного домена, стилизованного под Microsoft. У жертвы, конечно, ощущение, что она делает что-то полезное, хотя на самом деле уже вручает злоумышленникам ключ от квартиры, где деньги лежат.

Дальше — автоматизация снабжения. Файл на лету подкидывает MSI-пакет, а тот — троянизированный SentinelAgentCore.dll, аккуратно положенный рядом с настоящим SentinelAgentWorker.exe. В итоге Windows, как примерный отличник, запускает «официальный» процесс, а тот с удовольствием подгружает липовый DLL. Внутри него уже живёт полноценный канал на C2-сервер, готовый принимать команды хоть про разведку, хоть про подготовку к рансом-зашифровке.

Особый шик Storm-0249 проявляет в использовании штатных утилит Windows вроде reg.exe и findstr.exe для выуживания MachineGuid. Это классический LotL-пайплайн, где всё выглядит так, будто это просто админ что-то чинит. На деле — подготовка окружения под будущую атаку. MachineGuid используется группировками типа LockBit и ALPHV, чтобы привязывать ключи шифрования к конкретному железу, превращая расшифровку без их ключа в бесполезный ритуал для отчёта.

Что важно — Storm-0249 больше не забрасывает сети рыболовной фурой. Это уже не массовый фишинг, а хирургия. Никаких «разошлём миллиону пользователей». Они бьют по тем, кто реально интересует рынок выкупа. Используют доверие к подписанным процессам, аккуратно мимикрируют под легитимные инструменты, и пока SOC всматривается в шум, атака уходит дальше внутрь.