تحول تنظيم Storm-0249، الذي كان يُعرف سابقاً بمجموعات التصيد الاحتيالي واسعة النطاق، إلى وسيط وصول أولي متطور متخصص في الهجمات الدقيقة. هذا التطور يمثل تحولاً حاسماً في تكتيكات التهديد، مبتعداً عن حملات التصيد الصاخبة نحو تقنيات ما بعد الاستغلال الخفية المصممة لتوفير وصول جاهز لبرامج الفدية للمنتسبين الإجراميين.
يستغل الفاعل السيبراني حالياً ملفات موقّعة بشكل شرعي، خاصة تلك المرتبطة بأدوات اكتشاف الاستجابة لنقاط النهاية (EDR) مثل SentinelOne، لترسيخ وجوده داخل شبكات الجهات المستهدفة. يعكس التحول التشغيلي للمجموعة اتجاهاً متزايداً لدى وسطاء الوصول الأولي الذين يعتمدون أساليب تهرب متقدمة لزيادة معدلات نجاحهم.
Storm-0249: وسيط وصول أولي بتكتيكات متطورة
من خلال بيع وصول مسبق التجهيز للشبكات لمشغلي برامج الفدية كخدمة (Ransomware-as-a-service)، يعمل Storm-0249 على تسريع وتيرة الهجمات وتقليل الحواجز التقنية للفاعلين السيبرانيين اللاحقين. يثبت نموذج العمل هذا فعاليته بشكل خاص لأنه يسمح للمجموعة بالبقاء متخفية داخل بيئات الضحايا لفترات طويلة، لإجراء الاستطلاع وإعداد البنية التحتية لنشر برامج الفدية في نهاية المطاف.
حدد محللو ReliaQuest أن Storm-0249 يستخدم سلسلة هجمات متعددة المراحل تبدأ بالهندسة الاجتماعية عبر تقنية تسمى “ClickFix”، والتي تتلاعب بالمستخدمين لتنفيذ أوامر ضارة من خلال مربع حوار “تشغيل” في نظام ويندوز. وبمجرد الحصول على الوصول الأولي، يقوم الفاعل السيبراني بنشر حزم MSI ضارة بصلاحيات النظام، مما يهيئ الظروف لمراحل الاستغلال اللاحقة.
استغلال عمليات EDR لعمليات خفية
يتمثل الجانب الأكثر إثارة للقلق في عمليات Storm-0249 في إساءة استخدام عمليات EDR الموثوقة من خلال التحميل الجانبي للمكتبات الديناميكية (DLL sideloading). يستغل الهجوم علاقة ثقة أساسية داخل برامج الأمان من خلال التلاعب بالملفات التنفيذية الشرعية والموقعة رقمياً مثل SentinelAgentWorker.exe لتحميل شفرة خبيثة بدلاً من المكتبات الأصلية.
تثبت هذه التقنية فعاليتها العالية لأن أدوات المراقبة الأمنية غالباً ما تستثني عمليات EDR الموثوقة من التدقيق المكثف، مما يخلق نقاط عمياء كبيرة للمدافعين. عندما يبدأ البرنامج الثنائي لـ SentinelOne في العمل، فإنه يقوم تلقائياً بتحميل DLL الضارة الموضوعة استراتيجياً في مجلد AppData بجوار الملف التنفيذي الشرعي.
يقوم المعالج المصاب بعد ذلك بتنفيذ شفرة المهاجم مع الظهور كعملية روتينية لبرنامج الأمان أمام أنظمة الكشف. تتيح تقنية التحميل الجانبي هذه لـ Storm-0249 إنشاء اتصالات القيادة والتحكم، وإجراء أنشطة استطلاع مثل استخراج معرفات الجهاز اللازمة لربط التشفير، والحفاظ على القدرة على البقاء التي تتجاوز محاولات الإصلاح القياسية.
تمثل هذه التقنية تحدياً أساسياً: الكشفات التقليدية القائمة على العمليات والتي تم بناؤها حول مراقبة أدوات سطر الأوامر تفشل في اكتشاف هذا النشاط، حيث يتم تنفيذ جميع عمليات التنفيذ الخبيثة تحت عملية أمان موقعة رقمياً وفي قائمة بيضاء. يجب على المؤسسات تطبيق تحليلات سلوكية ومراقبة الشذوذ مثل تحميل الملفات التنفيذية الشرعية لملفات غير موقّعة من مواقع غير متوقعة لمواجهة هذه التكتيكات المتقدمة بفعالية.