تتناول هذه المقالة كيف قام الوسيط Storm-0249 بتغيير استراتيجياته من هجمات التصيد التقليدية إلى تكتيكات أكثر خفاءً، مما يزيد من تعقيد جهود الدفاع.
لقد انتقل الوسيط الأولي للوصول، Storm‑0249، من هجمات التصيد الضوضائية التي يسهل اكتشافها إلى حملات مستهدفة للغاية يصعب اكتشافها وإيقافها.
وفقًا لـ ReliaQuest، فإن Storm-0249، المعروف بتوسطه في الوصول إلى الشبكات لمشغلي برامج الفدية، يقوم بشكل متزايد بتسليح عمليات الكشف والاستجابة للنقاط النهائية (EDR) المشروعة بالإضافة إلى أدوات Windows المدمجة لتنفيذ أنشطة بعد الاختراق. يشمل ذلك البحث في الأنظمة المخترقة لجمع المعلومات، وإعداد قنوات القيادة والسيطرة (C2)، والبقاء مستمرًا في البيئة. تتيح هذه التكتيكات الجديدة لـ Storm‑0249 تجاوز الدفاعات، والدخول بعمق إلى الشبكات، والعمل تقريبًا تحت الرادار بالكامل، وفقًا لما قاله بائع الأمن.
‘طاقة الوافد الجديد’ من Storm-0249
“كوسيط ناشئ للوصول، يجلب Storm-0249 طاقة الوافد الجديد إلى مشهد متقلب بالفعل،” يقول براندون تيرادو، مدير استخبارات التهديدات في ReliaQuest، لـ Dark Reading. “إن تحوله السريع من برامج الفدية التقليدية مع التصيد العام إلى حملات خفية تركز على المحملات وClickFix يقلل من الحواجز التقنية والمالية لزملاء برامج الفدية للحصول على وصول سريع وهادئ،” كما يقول.
يمكن أن تسرع هذه الديناميكية المبتكرة من تبني النسخ عبر نظام الوساطة، مما يعني أن المدافعين لم يعد بإمكانهم تجاهل الفاعلين ذوي السمعة المنخفضة أو الذين تم رصدهم مؤخرًا، كما يقول تيرادو. “يجب أن تُعامل كل تهديد جديد على أنه ذو تأثير عالٍ محتمل من اليوم الأول.”
تبدأ الأنشطة الأخيرة لـ Storm‑0249 بتكتيك يعرف باسم ClickFix، وهو حركة هندسة اجتماعية تقنع المستخدمين بلصق وتشغيل أمر يبدو غير ضار في مربع تشغيل Windows. بدلاً من إصلاح أي شيء، يقوم الأمر بهدوء بتنزيل مثبت مزيف لدعم Microsoft من موقع تصيد يتظاهر بأنه بوابة دعم Microsoft مشروعة. عند تشغيله، يستغل المثبت حقوق “SYSTEM” المدمجة في مثبت Windows، مما يسمح للمهاجمين بإسقاط الملفات في الدلائل المحمية وتنفيذ حمولةهم مع التحكم الكامل على مستوى النظام.
داخل المثبت، وفقًا لـ ReliaQuest، يوجد مكتبة ارتباط ديناميكية (DLL) مصابة تتظاهر بأنها مكون شرعي من برنامج EDR الخاص بـ SentinelOne. يضع المثبت الضار DLL المسلح في مجلد AppData للنظام بجوار تنفيذ SentinelOne الشرعي الذي يجلبه المهاجمون أيضًا في الهجوم. عندما يتم تشغيل تنفيذ SentinelOne ويبحث عن الملفات المطلوبة، فإنه يحمل DLL الضار بدلاً من الشرعي، مما يمكّن المهاجمين من تنفيذ الشيفرة الضارة دون تفعيل التنبيهات القائمة على التوقيع التقليدي.
مثل هذه الهجمات باستخدام DLL ليست جديدة. لكن دمج Storm-0249 لهذه التكتيكات في كتاب قواعده يعكس تطورًا أوسع بين الفاعلين الخطرين نحو “التكتيكات المعتمدة على الهوية والثقيلة على التهرب”، كما قالت ReliaQuest. من المهم أن تقنية Storm-0249 قابلة للتكيف بسهولة وستعمل بنفس القدر مع منصات EDR الأخرى وليس فقط SentinelOne، أضاف بائع الأمن.
استغلال أدوات Windows المشروعة
في بعض الهجمات الأخيرة، لاحظت ReliaQuest أن Storm-0249 يستغل أدوات Windows المدمجة، مثل curl.exe، لجلب نصوص PowerShell الضارة من عناوين URL التي تبدو وكأنها من Microsoft. يستخدم المطورون ومديرو النظام وغيرهم curl.exe يوميًا لتنزيل الملفات، واختبار واجهات برمجة التطبيقات، وأتمتة المهام، لذا فإن هدف Storm-0249 في استخدامه هو الاندماج مع النشاط الطبيعي والتملص من الاكتشاف، كما قالت ReliaQuest.
يتم توجيه النصوص الضارة مباشرة إلى ذاكرة PowerShell، حيث يتم تنفيذها دون أن تلمس القرص. نظرًا لأن هذه الأوامر تُنفذ بواسطة أدوات النظام الشرعية التي تُستخدم على نطاق واسع في العمليات اليومية لتكنولوجيا المعلومات، فإن الدفاعات التقليدية للنقاط النهائية غالبًا ما تفشل في اكتشافها، كما قالت ReliaQuest.
“تنفيذ PowerShell بدون ملفات يتم بالكامل في الذاكرة، واستغلال DLL يستغل الثنائيات الموثوقة والموقعة،” يلاحظ تيرادو. “لذا، تتجاوز كلتا التقنيتين الأدوات المعتمدة على التوقيع التي لا تزال تهيمن على العديد من الأنظمة.”
يقيّم أن الفاعلين الخطرين مثل Storm-0249 يتجهون عمدًا إلى هذه النقاط العمياء المعروفة لإقامة مصداقية بسرعة. تشمل التدابير المضادة الفعالة تحليلات سلوكية ترفع العلم على تحميلات DLL غير العادية من مسارات غير متوقعة، وتأسيس EDR، ومراقبة DNS التي ترفع العلم على الاتصالات مع النطاقات التي كانت موجودة لأقل من 90 يومًا.
تظل الفجوات الأمنية الأكثر استغلالًا، في رأي تيرادو، هي AppData وأقراص التسجيل غير المراقبة، والاعتماد المفرط على الدفاعات المحيطية والقائمة على التوقيع، والقوائم البيضاء، دون أي قيود، على الثنائيات التي يستخدمها المهاجمون عادة في هجمات الثنائيات المستندة إلى الحياة (LOLBins). يجب على المنظمات فرض قيود صارمة على LOLBin مثل وضع لغة PowerShell المقيد، وتقسيم الشبكات بشكل عدواني، ونشر خطط استجابة تلقائية، كما يقول.
مع تطور التهديدات، يجب على المنظمات تعزيز استراتيجيات الأمان الخاصة بها لمواجهة التحديات الجديدة التي تقدمها مثل Storm-0249.
