عندما تتحول برامج الأمان إلى خطر: الارتفاع المقلق في اختراقات EDR بواسطة Storm-0249

وسيط وصول سيء السمعة حوّل أدوات الحماية الموثوقة للنقاط النهائية إلى أسلحة خفية، تاركًا المؤسسات مكشوفة بشكل خطير.

إنه كابوس أمني حقيقي: البرنامج المصمم لحماية عملك يُختطف ويُستخدم كسلاح ضدك. هذا هو الواقع الجديد والمخيف الذي كشف عنه الباحثون الذين يتتبعون مجموعة التهديدات Storm-0249، والتي تطورت من هجمات التصيد التقليدية إلى دروس متقدمة في الخداع - حيث يتم إخفاء الشيفرات الخبيثة داخل عمليات EDR الشرعية وتحويل أدوات الأمان إلى مخربين صامتين.

حقائق سريعة: تخريب EDR بواسطة Storm-0249

اختراق الأمان: تستخدم Storm-0249 تقنية تحميل DLL الجانبي لحقن البرمجيات الخبيثة في عمليات EDR الموثوقة مثل SentinelOne.
هجمات غير مرئية: تعمل الشيفرات الخبيثة تحت غطاء برامج موقعة وشرعية، متجنبة الاكتشاف التقليدي.
من التصيد إلى الاستمرارية: يتم الحصول على الوصول الأولي عبر مواقع تصيد مقنعة وهندسة اجتماعية، ثم يتم التصعيد بهجمات بدون ملفات.
تمكين برامج الفدية: يتم تحليل الأنظمة المخترقة وبيعها لشركاء برامج الفدية، مما يسرّع عمليات الابتزاز.
تجاوز الدفاعات التقليدية: مكافحة الفيروسات القائمة على التواقيع، والتحديثات، وإعادة تثبيت الوكلاء غير فعالة ضد هذا التهديد.

كيف تعمل الهجمة

تمثل الحملات الأخيرة لـ Storm-0249 قفزة خطيرة في التعقيد. بعد استدراج الضحايا بحملات تصيد - غالبًا متظاهرين بأنهم دعم مايكروسوفت - يُقنعون المستخدمين بتشغيل أوامر مشفرة عبر نافذة تشغيل ويندوز. يمنحهم هذا الوصول الأولي، لكن الجزء الأهم يأتي بعد ذلك: يستخدم المهاجمون أداة curl.exe الشرعية في ويندوز لجلب سكريبتات PowerShell خبيثة مباشرة إلى ذاكرة النظام من روابط تحاكي نطاقات مايكروسوفت الرسمية. وبما أن هذه السكريبتات لا تُخزن على القرص، فإن أدوات مكافحة الفيروسات التقليدية لا تكتشف هذا النشاط.

المرحلة الثانية أكثر خفاءً: يقوم مثبت MSI مُخترق بتسليم DLL خبيث (يسمى لتقليد مكونات SentinelOne) إلى مجلد AppData الخاص بالمستخدم - وهو موقع غالبًا ما تتجاهله الفحوصات الأمنية. عند تشغيل SentinelAgentWorker.exe الشرعي والموقع رقمياً، يقوم بتحميل DLL الخاص بالمهاجم بدلاً من الأصلي، وهي تقنية تُعرف باسم تحميل DLL الجانبي. بالنسبة لمنصة EDR، يبدو كل شيء طبيعيًا. أما بالنسبة للمهاجم، فهي فرصة مجانية لتشغيل الشيفرة، وإنشاء قنوات قيادة وتحكم (C2) مشفرة، وتحليل البيئة بهدوء.

لماذا الأمر مهم

هذه ليست مجرد حملة برمجيات خبيثة أخرى. من خلال إساءة استخدام برامج الأمان الموثوقة، تحول Storm-0249 أدوات المدافعين نفسها إلى قنوات هجوم. يقوم SentinelAgentWorker.exe المخترق بالاتصال بنطاقات يتحكم بها المهاجمون باستخدام حركة مرور مشفرة، مما يحبط حتى المراقبة الشبكية المتقدمة. ثم تستغل المجموعة أدوات ويندوز الشرعية لجمع معرفات النظام الحرجة - وهي ذات قيمة عالية لدى عصابات برامج الفدية لربط مفاتيح التشفير، مما يجعل كل ضحية عرضة بشكل فريد.

النتيجة؟ المؤسسات التي تعتمد على الدفاعات التقليدية - مكافحة الفيروسات القائمة على التواقيع، أو التحديثات، أو مجرد إعادة تثبيت الوكلاء - تظل مكشوفة. طرق Storm-0249 تجعل هذه التدابير بلا جدوى. بدلاً من ذلك، يحث الخبراء على التحول نحو تحليلات السلوك، والمراقبة الدقيقة للعمليات الموثوقة، وفحص DNS لاكتشاف النطاقات المشبوهة الجديدة، والعزل التلقائي للأجهزة المخترقة.