Descoberta e escopo / O que mudou agora
Relatórios de segurança descrevem que o grupo rastreado como Storm-0249 evoluiu de campanhas de phishing em massa para atuar como initial access broker focado em ataques de precisão. Analistas identificaram uma técnica consistente: abuso de binários assinados de produtos de segurança para carregar bibliotecas maliciosas (DLL sideloading), permitindo persistência e operações furtivas dentro de redes alvo.
Vetor e exploração / Mitigações
Segundo a análise publicada, o ator explora a confiança operacional em processos de Endpoint Detection and Response (EDR) — em especial o executável SentinelAgentWorker.exe — colocando uma DLL maliciosa no mesmo diretório (por exemplo, pastas do AppData) para que o binário assinado carregue código adversário. A cadeia operacional começa frequentemente por engenharia social (técnica identificada como ClickFix, que induz o usuário a executar comandos via Windows Run) e evolui para implantação de pacotes MSI com privilégios de sistema.
- Abuso de binário assinado: processo legítimo do EDR carrega DLL não assinada colocada estrategicamente.
- Técnica inicial: ClickFix (exploração do diálogo Executar do Windows) e phishing direcionado.
- Pós-comprometimento: instalação de MSI maliciosos, estabelecimento de C2 e extração de identificadores de máquina.
Como medidas imediatas, os relatórios recomendam monitorar comportamento de processos de segurança (análise comportamental) e alertar para execuções de processos legítimos que carreguem bibliotecas a partir de locais inesperados. Assinala-se a necessidade de regras que revejam exceções de whitelisting aplicadas a processos assinados, já que a simples assinatura não impede a carga de código malicioso.
Impacto e alcance / Setores afetados
O perfil do grupo indica foco em operações de acesso inicial para venda a afiliados de ransomware, o que amplia o risco para organizações que dependem de EDR padronizados e configurados com amplas exclusões. A metodologia permite permanecer escondido por longos períodos, facilitando reconhecimento, extração de dados críticos (incluindo artefatos para vinculação de chaves de criptografia) e preparação para ataques de extorsão.
Limites das informações / O que falta saber
Os relatórios técnicos descrevem artefatos e técnicas observadas, mas não quantificam número de vítimas nem fornecem indicadores de comprometimento (IoCs) completos no resumo disponível. Também não há confirmação pública de que a técnica afete versões específicas de produtos EDR além do exemplo identificado; a recomendação dos analistas é que equipes de resposta monitorem suas próprias bases para sinais semelhantes.
Repercussão / Próximos passos
Relatores enfatizam que deteções baseadas apenas em reputação de binário são insuficientes. Implementações recomendadas incluem: políticas que limitem locais de carga de DLL, validação de integridade em tempo de execução, monitoramento de comportamento de processos assinados e revisão de regras de exclusão de EDR. Equipes de segurança devem priorizar verificação de presença de DLLs não assinadas em diretórios associados a processos de segurança e auditar eventos de criação de arquivos no AppData e pastas de usuário.
Fonte: Relatório de analistas citado pela Cyber Security News; menções a SentinelOne constam como exemplo de binário assinado explorado.