Ваш EDR работает на врага. Новая реальность, где «белые списки» убивают инфраструктуру

Финансово мотивированная группировка Storm-0249, известная как продавец первоначального доступа для операторов программ-вымогателей, заметно усложнила свои методы и спровоцировала новую волну тревоги среди специалистов по кибербезопасности. Специалисты ReliaQuest зафиксировали, что группа отходит от массового фишинга и переходит к точечным атакам, основанным на злоупотреблении доверенными компонентами EDR-платформ — прежде всего SentinelOne. Это позволяет злоумышленникам маскировать вредоносную активность под привычную работу защитного ПО и оставаться в инфраструктуре неделями, готовя почву для будущих атак шифровальщиков.

Если ранее Storm-0249 рассчитывала на фишинговые рассылки и простые загрузчики, то теперь её цепочки атаки включают поддельные домены Microsoft, fileless-исполнение PowerShell, передачу вредоносного кода через curl.exe и особенно — DLL sideloading рядом с подписанными файлами SentinelOne. В одном из инцидентов злоумышленники использовали мошеннический MSI-пакет, который выполняется от имени SYSTEM и подбрасывает модифицированную DLL рядом с легитимным SentinelAgentWorker.exe. Запущенный EDR-процесс сам загружает вредоносную библиотеку, а затем под его маской выполняется разведка, выводится телеметрия в сторонние домены и устанавливается связь с C2-инфраструктурой.

Особенно опасно то, что Storm-0249 научилась использовать саму EDR-агентов как транспорт для скрытых команд и каналов управления. Microsoft Defender фиксировал, как подписанный SentinelAgentWorker.exe обращается к доменам злоумышленников, зарегистрированным всего за несколько недель до атаки, но процессы, имеющие цифровую подпись и репутацию доверенного ПО, редко вызывают подозрения. В сочетании с TLS-шифрованием такие каналы становятся практически прозрачными для классических систем анализа трафика.

Группа также активно использует легитимные Windows-утилиты вроде reg.exe и findstr.exe для разведки, в том числе для получения MachineGuid — параметра, который используется многими шифровальщиками для привязки ключей шифрования к конкретному устройству. Выполняя такие команды из-под подписанного EDR-процесса, Storm-0249 полностью теряется в «шуме» обычной системной активности.

Исследователи предупреждают: злоупотребление доверенными процессами поднимает планку угроз на новый уровень, а стандартные меры реагирования вроде переустановки агентов или обновления системы уже не спасают. MSI-пакеты с системными привилегиями обеспечивают устойчивый плацдарм, который переживает большинство базовых процедур ремедиации. К тому же применяемые группировкой техники легко адаптируются к другим EDR-решениям, что делает проблему отраслевой, а не продуктовой.

В ReliaQuest подчеркивают, что противостоять Storm-0249 можно только за счёт поведенческой аналитики, автоматизированных ответных мер и глубокого мониторинга доверенных процессов. Серия обновленных правил детектирования GreyMatter нацелена на выявление нетипичной активности: загрузки неподписанных DLL в AppData, выполнение PowerShell по конвейеру из curl.exe, обращения к недавно зарегистрированным доменам, подозрительные операции с реестром и попытки установить стойкость. Автоматизированные плейбуки по изоляции хоста, блокировке доменов и запрету хешей вредоносных файлов позволяют сократить время реагирования с часов до минут и предотвратить развертывание шифровальщиков.

Специалисты сходятся во мнении, что тактика Storm-0249 станет катализатором для других группировок на рынке IAB и RaaS. Комбинация точечных атак, злоупотребления доверенными процессами и устойчивого присутствия в системе заметно ускоряет цикл внедрения программ-вымогателей и уменьшает окно, в котором защитники могут прервать атаку. Поэтому компаниям необходимо усилить контроль над инструментами PowerShell и curl.exe, мониторинг DNS-трафика, отслеживание аномалий в поведении EDR-агентов и оперативное реагирование на любую нетипичную сетевую активность от доверенных процессов. Именно такие меры становятся критически важными, когда злоумышленники научились превращать защитные системы в собственный инструмент скрытности.