Saldırının Genel Çerçevesi
Storm-0249, fidye yazılımı saldırılarında başlangıç erişim aracısı rolünden daha gelişmiş tekniklere geçiş yapıyor. Grup, özellikle alan adı taklidi, dosyasız PowerShell yürütme ve DLL yan yükleme yöntemlerini kullanarak ağlara sızıyor ve kalıcı erişim sağlıyor. Bu gelişmeler, saldırganların savunma mekanizmalarını aşmasını ve uzun süre fark edilmeden faaliyet göstermesini mümkün kılıyor.
2024 yılının başlarında Microsoft tarafından tanımlanan Storm-0249, ABD’deki kullanıcıları hedef alan vergi temalı oltalama kampanyalarıyla öne çıktı. Bu kampanyalarda Latrodectus ve BruteRatel C4 (BRc4) post-exploitation araçları kullanıldı. Nihai hedef, kurumsal ağlarda kalıcı erişim elde ederek bu erişimleri fidye yazılımı gruplarına satmak ve saldırıların hızını artırmak.
Saldırı Zinciri ve Teknik Detaylar
Son bulgular, Storm-0249’un ClickFix adlı sosyal mühendislik taktiğini kullanarak Windows Çalıştır iletişim kutusu üzerinden kötü amaçlı komutlar çalıştırdığını gösteriyor. Grup, Microsoft alan adını taklit eden sahte URL’lerden PowerShell betikleri çekmek için meşru “curl.exe” aracını kullanıyor ve bu betikleri dosyasız PowerShell yöntemiyle yürütüyor.
Bu süreç, SYSTEM ayrıcalıklarıyla kötü amaçlı MSI paketlerinin çalıştırılmasına yol açıyor. Paket, SentinelOne uç nokta güvenlik çözümüne ait gibi görünen “SentinelAgentCore.dll” adlı kötü amaçlı bir DLL’yi kullanıcının AppData klasörüne bırakıyor. Ardından, meşru “SentinelAgentWorker.exe” süreci başlatıldığında sahte DLL yan yükleniyor ve komut-komuta (C2) sunucusuyla şifreli iletişim kuruluyor. Bu yöntem, saldırganların faaliyetlerini gizlemesini sağlıyor.
Storm-0249 ayrıca reg.exe ve findstr.exe gibi Windows yönetim araçlarını kullanarak MachineGuid gibi benzersiz sistem tanımlayıcılarını topluyor. Bu bilgiler, sonraki fidye yazılımı saldırılarında şifreleme anahtarlarının hedef sistemlere bağlanması için kullanılıyor. Böylece, şifreleme anahtarları ele geçirilse bile dosyaların çözülmesi engelleniyor.
Sistem Yöneticileri İçin Pratik Öneriler
- Dosyasız PowerShell yürütmelerini ve anormal PowerShell aktivitelerini EDR çözümleriyle sürekli izleyin.
- Windows Çalıştır iletişim kutusundan gelen komutları ve curl.exe kullanımını SIEM sistemleriyle takip edin.
- DLL yan yükleme tekniklerini tespit etmek için uç nokta koruma araçlarında davranış tabanlı analizleri etkinleştirin.
- MachineGuid gibi benzersiz sistem kimliklerinin toplanmasını önlemek için reg.exe ve findstr.exe kullanımını kısıtlayın veya denetleyin.
- Alan adı taklidi saldırılarına karşı DNS filtreleme ve URL engelleme politikaları uygulayın.
- Çok faktörlü kimlik doğrulama (MFA) ve ağ segmentasyonu ile saldırı yüzeyini azaltın.
- Olay müdahale süreçlerinizi güncel tutarak şüpheli faaliyetlere hızlı yanıt verin.
- Uç nokta güvenlik çözümlerinin güncel ve tam koruma sağladığından emin olun.
Kurumsal Ortamlarda Olası Senaryo
Örneğin, bir finans kurumunda çalışanlar vergi temalı oltalama e-postaları alıyor. Bu e-postalar, kullanıcıları sahte Microsoft alan adlarını içeren URL’lere yönlendiriyor. Burada dosyasız PowerShell betikleri çalıştırılarak SYSTEM ayrıcalıklarıyla kötü amaçlı MSI paketleri yükleniyor. Ardından, fidye yazılımı gruplarına kalıcı erişim sağlanıyor. Bu senaryo, e-posta güvenliği ve ağ segmentasyonunun önemini bir kez daha ortaya koyuyor.
Sonuç ve Değerlendirme
Storm-0249’un kullandığı gelişmiş teknikler, fidye yazılımı saldırılarının karmaşıklığını artırıyor ve savunma ekipleri için ciddi zorluklar yaratıyor. Dosyasız PowerShell yürütme, DLL yan yükleme ve alan adı taklidi gibi yöntemler, saldırganların tespit edilmeden uzun süre faaliyet göstermesine imkan tanıyor. Bu nedenle, kurumların uç nokta güvenliği, olay müdahale ve ağ segmentasyonu gibi alanlarda kapsamlı önlemler alması kritik önem taşıyor.