Quando l’EDR diventa un cavallo di Troia: Storm-0249 abusa di SentinelOne

cybersecurity@poliverso.org

Quando l’EDR diventa un cavallo di Troia: Storm-0249 abusa di SentinelOne

Un noto broker di accesso iniziale (IAB) denominato “Storm-0249“, ha modificato le proprie strategie operative, utilizzando campagne di phishing ma anche attacchi altamente mirati, i quali sfruttano proprio gli strumenti di sicurezza pensati per la protezione delle reti come mezzo per raggiungere i propri obiettivi.

Il gruppo utilizza una nuova tecnica allarmante che include un metodo chiamato DLL sideloading. I pacchetti MSI dannosi vengono diffusi da Storm-0249 tramite campagne di phishing, sfruttando spesso tattiche di ingegneria sociale denominate “ClickFix”, le quali spingono gli utenti a eseguire comandi per risolvere presunti problemi tecnici fasulli.

Il ReliaQuest Threat Research Team (dopo che l’analisi era stata in parte sviluppata dagli specialisti di TrendMicro) ha pubblicato un rapporto aggiornato, il quale sottolinea che il gruppo di minaccia sta anche sfruttando indebitamente i processi legittimi di rilevamento e risposta agli endpoint (EDR), soprattutto le componenti SentinelOne, al fine di occultare le proprie tracce e facilitare l’avvio di attacchi del tipo ransomware.

Una volta eseguito con privilegi di SYSTEM, il programma di installazione rilascia una versione legittima e firmata digitalmente di SentinelAgentWorker.exe, un componente fondamentale dell’agente di sicurezza di SentinelOne , nella cartella AppData dell’utente. Insieme a essa, inserisce un file dannoso denominato SentinelAgentCore.dll.

“Quando il file binario SentinelOne portato con sé dall’aggressore viene avviato, carica la DLL dannosa invece di quella legittima che si trova accanto ad essa”, spiega il rapporto.

Questo trasforma di fatto lo strumento di sicurezza in un cavallo di Troia. Per chi si occupa della difesa della rete, l’attività appare come una normale operazione EDR, che consente agli aggressori di aggirare il rilevamento basato sulle firme e stabilire canali di comando e controllo (C2) crittografati mascherati da telemetria legittima.

I difensori dovrebbero monitorare:

• Caricamento laterale anomalo: file binari legittimi che caricano DLL da posizioni insolite come AppData.
• Traffico sospetto: connessioni a domini appena registrati provenienti da processi EDR attendibili.
• Abuso di LoLBin: utilizzo inaspettato di curl.exe o reg.exe da parte degli agenti di sicurezza.

Oltre al sideloading, Storm-0249 abusa anche delle utilità integrate di Windows per eludere il rilevamento. Il gruppo crea domini falsi che imitano gli URL di Microsoft (ad esempio, /us.microsoft.com/) per ingannare gli utenti e i filtri di sicurezza.

ReliaQuest sottolinea che questo non indica una vulnerabilità in SentinelOne in sé. “I processi legittimi all’interno dei comuni strumenti EDR, incluso SentinelOne, non vengono sfruttati, aggirati, elusi o compromessi con le tecniche descritte nel presente documento”. Al contrario, gli aggressori stanno abusando della fiducia riposta nei file binari firmati.

Utilizzano quindi curl.exe, uno strumento standard per il trasferimento dati, per recuperare script dannosi e inviarli direttamente nella memoria di PowerShell. “Invece di salvare lo script su disco, dove l’antivirus potrebbe intercettarlo, il comando invia il contenuto direttamente nella memoria di PowerShell per l’esecuzione immediata”, creando una catena di attacchi “fileless” che lascia prove forensi minime.

L’obiettivo finale di queste intrusioni è vendere l’accesso a gruppi di ransomware come LockBit e ALPHV. Il rapporto sottolinea che Storm-0249 conduce una ricognizione specifica per estrarre il MachineGuid, un identificatore di sistema univoco.

L'articolo Quando l’EDR diventa un cavallo di Troia: Storm-0249 abusa di SentinelOne proviene da Red Hot Cyber.