Quando l’EDR diventa un cavallo di Troia: Storm-0249 abusa di SentinelOne

Redazione RHC : 15 Dicembre 2025 07:26

Un noto broker di accesso iniziale (IAB) denominato “Storm-0249“, ha modificato le proprie strategie operative, utilizzando campagne di phishing ma anche attacchi altamente mirati, i quali sfruttano proprio gli strumenti di sicurezza pensati per la protezione delle reti come mezzo per raggiungere i propri obiettivi.

Il gruppo utilizza una nuova tecnica allarmante che include un metodo chiamato DLL sideloading. I pacchetti MSI dannosi vengono diffusi da Storm-0249 tramite campagne di phishing, sfruttando spesso tattiche di ingegneria sociale denominate “ClickFix”, le quali spingono gli utenti a eseguire comandi per risolvere presunti problemi tecnici fasulli.

Il ReliaQuest Threat Research Team (dopo che l’analisi era stata in parte sviluppata dagli specialisti di TrendMicro) ha pubblicato un rapporto aggiornato, il quale sottolinea che il gruppo di minaccia sta anche sfruttando indebitamente i processi legittimi di rilevamento e risposta agli endpoint (EDR), soprattutto le componenti SentinelOne, al fine di occultare le proprie tracce e facilitare l’avvio di attacchi del tipo ransomware.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Una volta eseguito con privilegi di SYSTEM, il programma di installazione rilascia una versione legittima e firmata digitalmente di SentinelAgentWorker.exe, un componente fondamentale dell’agente di sicurezza di SentinelOne , nella cartella AppData dell’utente. Insieme a essa, inserisce un file dannoso denominato SentinelAgentCore.dll.

“Quando il file binario SentinelOne portato con sé dall’aggressore viene avviato, carica la DLL dannosa invece di quella legittima che si trova accanto ad essa”, spiega il rapporto.

Questo trasforma di fatto lo strumento di sicurezza in un cavallo di Troia. Per chi si occupa della difesa della rete, l’attività appare come una normale operazione EDR, che consente agli aggressori di aggirare il rilevamento basato sulle firme e stabilire canali di comando e controllo (C2) crittografati mascherati da telemetria legittima.

I difensori dovrebbero monitorare:

• Caricamento laterale anomalo: file binari legittimi che caricano DLL da posizioni insolite come AppData.
• Traffico sospetto: connessioni a domini appena registrati provenienti da processi EDR attendibili.
• Abuso di LoLBin: utilizzo inaspettato di curl.exe o reg.exe da parte degli agenti di sicurezza.

Oltre al sideloading, Storm-0249 abusa anche delle utilità integrate di Windows per eludere il rilevamento. Il gruppo crea domini falsi che imitano gli URL di Microsoft (ad esempio, /us.microsoft.com/) per ingannare gli utenti e i filtri di sicurezza.

ReliaQuest sottolinea che questo non indica una vulnerabilità in SentinelOne in sé. “I processi legittimi all’interno dei comuni strumenti EDR, incluso SentinelOne, non vengono sfruttati, aggirati, elusi o compromessi con le tecniche descritte nel presente documento”. Al contrario, gli aggressori stanno abusando della fiducia riposta nei file binari firmati.

Utilizzano quindi curl.exe, uno strumento standard per il trasferimento dati, per recuperare script dannosi e inviarli direttamente nella memoria di PowerShell. “Invece di salvare lo script su disco, dove l’antivirus potrebbe intercettarlo, il comando invia il contenuto direttamente nella memoria di PowerShell per l’esecuzione immediata”, creando una catena di attacchi “fileless” che lascia prove forensi minime.

L’obiettivo finale di queste intrusioni è vendere l’accesso a gruppi di ransomware come LockBit e ALPHV. Il rapporto sottolinea che Storm-0249 conduce una ricognizione specifica per estrarre il MachineGuid, un identificatore di sistema univoco.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli