Quando l’EDR diventa un cavallo di Troia: Storm-0249 abusa di SentinelOne

Un noto broker di accesso iniziale (IAB) denominato “Storm-0249“, ha modificato le proprie strategie operative, utilizzando campagne di phishing ma anche attacchi altamente mirati, i quali sfruttano proprio gli strumenti di sicurezza pensati per la protezione delle reti come mezzo per raggiungere i propri obiettivi.

Il gruppo utilizza una nuova tecnica allarmante che include un metodo chiamato DLL sideloading. I pacchetti MSI dannosi vengono diffusi da Storm-0249 tramite campagne di phishing, sfruttando spesso tattiche di ingegneria sociale denominate “ClickFix”, le quali spingono gli utenti a eseguire comandi per risolvere presunti problemi tecnici fasulli.

Il ReliaQuest Threat Research Team (dopo che l’analisi era stata in parte sviluppata dagli specialisti di TrendMicro) ha pubblicato un rapporto aggiornato, il quale sottolinea che il gruppo di minaccia sta anche sfruttando indebitamente i processi legittimi di rilevamento e risposta agli endpoint (EDR), soprattutto le componenti SentinelOne, al fine di occultare le proprie tracce e facilitare l’avvio di attacchi del tipo ransomware.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Una volta eseguito con privilegi di SYSTEM, il programma di installazione rilascia una versione legittima e firmata digitalmente di SentinelAgentWorker.exe, un componente fondamentale dell’agente di sicurezza di SentinelOne , nella cartella AppData dell’utente. Insieme a essa, inserisce un file dannoso denominato SentinelAgentCore.dll.

“Quando il file binario SentinelOne portato con sé dall’aggressore viene avviato, carica la DLL dannosa invece di quella legittima che si trova accanto ad essa”, spiega il rapporto.

Questo trasforma di fatto lo strumento di sicurezza in un cavallo di Troia. Per chi si occupa della difesa della rete, l’attività appare come una normale operazione EDR, che consente agli aggressori di aggirare il rilevamento basato sulle firme e stabilire canali di comando e controllo (C2) crittografati mascherati da telemetria legittima.

I difensori dovrebbero monitorare:

• Caricamento laterale anomalo: file binari legittimi che caricano DLL da posizioni insolite come AppData.
• Traffico sospetto: connessioni a domini appena registrati provenienti da processi EDR attendibili.
• Abuso di LoLBin: utilizzo inaspettato di curl.exe o reg.exe da parte degli agenti di sicurezza.

Oltre al sideloading, Storm-0249 abusa anche delle utilità integrate di Windows per eludere il rilevamento. Il gruppo crea domini falsi che imitano gli URL di Microsoft (ad esempio, /us.microsoft.com/) per ingannare gli utenti e i filtri di sicurezza.

ReliaQuest sottolinea che questo non indica una vulnerabilità in SentinelOne in sé. “I processi legittimi all’interno dei comuni strumenti EDR, incluso SentinelOne, non vengono sfruttati, aggirati, elusi o compromessi con le tecniche descritte nel presente documento”. Al contrario, gli aggressori stanno abusando della fiducia riposta nei file binari firmati.

Utilizzano quindi curl.exe, uno strumento standard per il trasferimento dati, per recuperare script dannosi e inviarli direttamente nella memoria di PowerShell. “Invece di salvare lo script su disco, dove l’antivirus potrebbe intercettarlo, il comando invia il contenuto direttamente nella memoria di PowerShell per l’esecuzione immediata”, creando una catena di attacchi “fileless” che lascia prove forensi minime.

L’obiettivo finale di queste intrusioni è vendere l’accesso a gruppi di ransomware come LockBit e ALPHV. Il rapporto sottolinea che Storm-0249 conduce una ricognizione specifica per estrarre il MachineGuid, un identificatore di sistema univoco.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.