Quand les logiciels de sécurité se retournent : l’inquiétante montée des détournements d’EDR par Storm-0249

Un courtier d’accès notoire a transformé des outils de protection des endpoints de confiance en armes invisibles, laissant les organisations dangereusement exposées.

C’est le cauchemar absolu pour la sécurité : le logiciel censé protéger votre entreprise est détourné et utilisé contre vous. C’est précisément la nouvelle réalité glaçante révélée par les chercheurs qui suivent Storm-0249, un groupe de menaces passé du phishing ordinaire à une véritable leçon de subterfuge - dissimulant du code malveillant dans des processus EDR (Endpoint Detection and Response) légitimes et transformant les outils de sécurité en saboteurs silencieux.

En bref : la subversion des EDR par Storm-0249

Sécurité détournée : Storm-0249 utilise le DLL sideloading pour injecter des malwares dans des processus EDR de confiance comme SentinelOne.
Attaques invisibles : Le code malveillant s’exécute sous couvert de logiciels signés et légitimes, échappant ainsi à la détection classique.
Du phishing à la persistance : L’accès initial est obtenu via des sites de phishing convaincants et l’ingénierie sociale, puis renforcé par des attaques sans fichier.
Facilitation du ransomware : Les systèmes compromis sont profilés et revendus à des affiliés de ransomware, accélérant les opérations d’extorsion.
Défenses traditionnelles contournées : Les antivirus à base de signatures, les correctifs et la réinstallation des agents sont inefficaces face à cette menace.

Comment fonctionne l’attaque

Les dernières campagnes de Storm-0249 représentent un dangereux saut de sophistication. Après avoir attiré les victimes via des campagnes de phishing - souvent sous l’apparence du support Microsoft - ils convainquent les utilisateurs d’exécuter des commandes encodées via la boîte de dialogue Exécuter de Windows. Cela leur donne un accès initial, mais la véritable prouesse vient ensuite : les attaquants utilisent curl.exe, un outil Windows légitime, pour télécharger des scripts PowerShell malveillants directement en mémoire depuis des URLs imitant des domaines officiels de Microsoft. Comme ces scripts ne touchent jamais le disque, les antivirus traditionnels restent aveugles à cette activité.

La seconde phase est encore plus furtive : un installateur MSI trojanisé dépose une DLL malveillante (nommée pour imiter les composants de SentinelOne) dans le dossier AppData de l’utilisateur - un emplacement souvent ignoré par les scans de sécurité. Lorsque le véritable SentinelAgentWorker.exe, signé numériquement, est lancé, il charge à son insu la DLL de l’attaquant au lieu de la vraie, une technique appelée DLL sideloading. Pour la plateforme EDR, tout semble normal. Pour l’attaquant, c’est un laissez-passer pour exécuter du code, établir des canaux de commande et contrôle (C2) chiffrés, et profiler discrètement l’environnement.

Pourquoi c’est important

Ce n’est pas une campagne de malware comme les autres. En abusant de logiciels de sécurité de confiance, Storm-0249 transforme les outils des défenseurs en vecteurs d’attaque. Le SentinelAgentWorker.exe compromis contacte des domaines contrôlés par les attaquants via un trafic chiffré, contournant même les systèmes avancés de surveillance réseau. Le groupe exploite ensuite des utilitaires Windows légitimes pour collecter des identifiants système critiques - très recherchés par les groupes de ransomware pour lier les clés de chiffrement, rendant chaque victime unique et vulnérable.

Conséquence ? Les organisations qui s’appuient sur des défenses traditionnelles - antivirus à base de signatures, correctifs ou simple réinstallation des agents - se retrouvent exposées. Les méthodes de Storm-0249 rendent ces contre-mesures inopérantes. Les experts recommandent plutôt de passer à l’analyse comportementale, à une surveillance rigoureuse des processus de confiance, à l’examen DNS pour repérer de nouveaux domaines suspects, et à l’isolement automatisé des hôtes compromis.