脅威の進化:Storm-0249によるEDR悪用
初期アクセスブローカーであるStorm-0249が、その攻撃手法を大幅に進化させ、従来のEDR(Endpoint Detection and Response)プロセスのサイドローディングを悪用して、悪意のある活動を通常のセキュリティ運用に見せかけて隠蔽していることが判明しました。これは、同グループの能力における重大なエスカレーションであり、従来の防御メカニズムに依存する組織にとって極めて深刻なリスクをもたらします。
ReliaQuestの研究者らはSentinelOneとの協力により、Storm-0249がどのようにしてSentinelOneのSentinelAgentWorker.exeのような信頼された署名付き実行ファイルを悪用し、検出を回避しながら悪意のあるペイロードを実行しているかを文書化しました。この手法は他のEDRプラットフォームにも容易に応用可能であり、業界横断的な脅威としてセキュリティチームの即座の対応が求められます。
攻撃の3つの段階
Storm-0249の最近の攻撃手法は、まずClickFix攻撃から始まります。これは、ユーザーをだましてWindowsの「ファイル名を指定して実行」ダイアログからエンコードされたコマンドを実行させるソーシャルエンジニアリングの手法です。初期アクセスが確立されると、攻撃は以下の3つの段階を経て展開されます。
第1段階:curl.exeとメモリ内実行
- 攻撃者は、IT管理者がアップデートのダウンロードやAPIテストに一般的に使用する正規のWindowsユーティリティであるcurl.exeを悪用します。
- curl.exeがセキュリティアラートをほとんどトリガーしないことを利用し、攻撃者は偽装したMicrosoftドメインから悪意のあるPowerShellスクリプトを直接メモリにパイプします。
- ペイロードは攻撃者によって制御されるインフラストストラクチャでホストされますが、URLには偽の
/us.microsoft.com/パスが先行され、正規のMicrosoftソースを詐称します。 - このファイルレス実行技術は、悪意のあるコードがディスクに接触しないため、シグネチャベースのアンチウイルスソリューションを完全に迂回します。
第2段階:トロイの木馬化されたMSIパッケージとDLLサイドローディング
- 次に、WindowsインストーラーのSYSTEMレベルの特権を悪用するトロイの木馬化されたMSIパッケージが配信されます。
- このパッケージには、正規のSentinelOne EDRコンポーネントを装った悪意のあるDLLが含まれており、アラートノイズを減らすためにセキュリティ監視から除外されがちな
AppDataフォルダーに戦略的に配置されます。 - 正規のSentinelOne実行ファイルが起動すると、正規のバージョンではなく攻撃者の悪意のあるDLLがロードされます。これはDLLサイドローディングとして知られる技術であり、攻撃を通常のセキュリティソフトウェアの動作に見せかけます。
セキュリティソフトウェアが攻撃ベクトルに
Storm-0249が信頼されたEDRプロセスを悪用できることの意味は深遠です。署名付き実行ファイルをハイジャックすることで、グループはセキュリティソフトウェアを攻撃ベクトルに変貌させます。
- ネットワーク監視ツールは、侵害された
SentinelAgentWorker.exeが新たに登録されたドメインへのC2(コマンド&コントロール)通信を確立しているのを観測しますが、プロセスが許可され、デジタル署名されているため信頼してしまいます。 - 攻撃者はC2トラフィックをTLSで暗号化し、ディープパケットインスペクションやSSLインスペクションアプライアンスから不可視化します。
- これにより、従来の境界防御の大部分が無力化され、オペレーターはマルウェアの暗号化キーとペイロードの指示を検出されることなく送信できるようになります。
初期侵害後、Storm-0249はreg.exeやfindstr.exeなどの正規のWindowsユーティリティを使用して、MachineGuidを含むシステム識別子を抽出する偵察を行います。このデータは、LockBitやALPHVのようなランサムウェアのアフィリエイトにとって重要であり、MachineGuidを使用して個々の被害者システムに暗号化キーをバインドします。この情報を確保することで、Storm-0249はランサムウェアの顧客に事前にプロファイルされたターゲットを提供し、ランサムウェアへの移行期間を数週間から数日に劇的に短縮します。
防衛の必須事項
組織は、DLLサイドローディングなどの異常を検出するための振る舞い分析を導入し、新たに登録されたドメイン(30~90日未満のもの)のDNSを監視し、curl.exeやPowerShellなどの正規ツールの厳格な制御を徹底する必要があります。侵害されたホストを隔離し、悪意のあるドメインをブロックし、既知の悪意のあるハッシュの実行を防止する自動化されたインシデント対応プレイブックが不可欠です。
Storm-0249の進化は、従来のシグネチャベースの防御が不十分であることを示しています。セキュリティチームは、ランサムウェアの展開が避けられなくなる前に、信頼されたプロセスへの可視性を優先し、振る舞い監視を実装し、ネットワークセグメンテーションを維持して、これらの高度な攻撃を阻止する必要があります。
確認された侵害の痕跡(IOCs)
- SHA-1 Hash:
07c5599b9bb00feb70c2d5e43b4b76f228866930(DLLサイドローディングに使用される悪意のあるDLL「SentinelAgentCore」) - SHA-1 Hash:
423f2fcf7ed347ee57c1a3cffa14099ec16ad09c(悪意のあるインストーラー「Spear.msi」) - Domain:
krivomadogolyhp[.]com(C2ドメイン) - Domain:
hristomasitomasdf[.]com(C2ドメイン) - File/Resource*:
hamcore[.]se2(C2ドメイン、SoftEther VPN設定ファイルまたはアーティファクトの可能性) - Domain:
sgcipl[.]com(C2ドメイン、偽装Microsoftドメインに使用) - IP Address:
178.16.52[.]145(悪意のあるIPアドレス) - IP Address:
172.67.206[.]124(悪意のあるIPアドレス)