Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Storm-0249: обход EDR через злоупотребление доверенными процессами

1
3 мин
Storm-0249 — эволюционирующая группа злоумышленников, которая сместила акцент с массовых фишинговых кампаний на более сложные пост‑эксплуатационные методы, целенаправленно использующие уязвимости в конечных средствах защиты. Вместо прямого обхода защитных решений атакующие начали внедрять свою активность внутрь доверенных процессов безопасности, что значительно затрудняет обнаружение и удаление угроз. Группа использует надежные системные и security‑утилиты, а также легитимные компоненты EDR, чтобы маскировать C2‑трафик и выполнение вредоносного кода. В частности, злоумышленники начали применять процессы типа sentinelagentworker.exe (SentinelOne) для скрытого запуска своих операций и сокрытия команд и контроля (C2) внутри обычной работы программ безопасности. Путём встраивания C2‑движения в такие процессы Storm-0249 минимизирует риск обнаружения традиционными средствами. Применяемые методы включают: «Путём встраивания их C2‑движения внутри легитимных процессов безопасности злоумышленник
Оглавление

Storm-0249 — эволюционирующая группа злоумышленников, которая сместила акцент с массовых фишинговых кампаний на более сложные пост‑эксплуатационные методы, целенаправленно использующие уязвимости в конечных средствах защиты. Вместо прямого обхода защитных решений атакующие начали внедрять свою активность внутрь доверенных процессов безопасности, что значительно затрудняет обнаружение и удаление угроз.

Суть тактики

Группа использует надежные системные и security‑утилиты, а также легитимные компоненты EDR, чтобы маскировать C2‑трафик и выполнение вредоносного кода. В частности, злоумышленники начали применять процессы типа sentinelagentworker.exe (SentinelOne) для скрытого запуска своих операций и сокрытия команд и контроля (C2) внутри обычной работы программ безопасности. Путём встраивания C2‑движения в такие процессы Storm-0249 минимизирует риск обнаружения традиционными средствами.

Применяемые методы включают:

  • модификацию или манипулирование легитимными исполняемыми файлами (например, sentinelagentworker.exe) для скрытой загрузки вредоносного кода;
  • использование системных утилит Windows — reg.exe, findstr.exe — для маскировки разведки и выполнения команд;
  • механизмы дополнительной загрузки библиотек — DLL sideloading — и fileless техники исполнения;
  • прибегание к пакетам MSI с повышенными (SYSTEM) привилегиями для обеспечения persistence.
«Путём встраивания их C2‑движения внутри легитимных процессов безопасности злоумышленники могут избежать обнаружения и поддерживать закрепление в скомпрометированной среде».

Почему это особенно опасно

Интеграция вредоносных функций в доверенные процессы делает поведенческий профиль атаки близким к нормальным операциям безопасности. В результате традиционные сигнатурные средства обнаружения и простые эвристики часто дают недостаточную видимость. Ключевые риски:

  • обход традиционных EDR‑детекторов за счёт использования самих EDR‑процессов;
  • сложность корреляции активности с вредоносным поведением, поскольку команды маскируются под легитимную работу;
  • устойчивость внедрённой позиции через MSI‑установки с системными привилегиями;
  • широкая применимость методов — не ограничена продуктами одной вендора, повышая угрозу для разных платформ EDR.

Коммерческая модель угрозы

Storm-0249 не ограничивается только кражей данных или шпионажем: адаптивность тактик позволяет группе предоставлять «pre‑access» аффилиатам ransomware, упрощая развёртывание программ‑вымогателей и ускоряя распространение атак по различным секторам.

Рекомендации для организаций

Учитывая изощрённость применяемых приёмов, организации должны пересмотреть подходы к защите, отойдя от исключительно сигнатурного обнаружения в сторону поведенческой аналитики и улучшенной видимости. В частности рекомендуются следующие меры:

  • внедрить поведенческую аналитику и детектирование аномалий, ориентированное на нетипичное использование легитимных исполняемых файлов (например, sentinelagentworker.exe, reg.exe, findstr.exe);
  • отслеживать нетипичные процессы и дочерние запуски у процессов EDR, а также необычные сетевые подключения из процессов безопасности;
  • контролировать и ограничивать установку MSI‑пакетов с повышенными привилегиями, фиксировать все установки и изменения сервисов;
  • настроить мониторинг на признаки DLL sideloading и fileless техник (анализ загрузки модулей, поведение памяти);
  • усилить механизмы видимости и ускорить процессы реагирования: быстрый triage, инцидент‑респонс и возможность отката изменений;
  • периодически проводить threat hunting и проверять наличие компрометаций через поведенческие индикаторы, а не только через сигнатуры.

Вывод

Storm-0249 демонстрирует тенденцию, при которой злоумышленники переходят от массовых фишинговых операций к целенаправленным, высокотехнологичным атакам, использующим доверенные процессы для маскировки своей активности. Это требует от организаций переосмысления традиционных подходов к безопасности: приоритет — на поведенческий мониторинг, расширенную видимость и готовность к оперативному реагированию.

Организациям рекомендуется немедленно оценить свою способность детектировать и реагировать на аномалии в поведении легитимных security‑процессов и внедрить практики, минимизирующие риск закрепления злоумышленников через MSI, DLL sideloading и fileless‑методы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Storm-0249: обход EDR через злоупотребление доверенными процессами".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются