العميل المزدوج للأمن: كيف حولت Storm-0249 SentinelOne ضد المدافعين

العنوان الفرعي: مجرمو الإنترنت يختطفون أدوات الأمان الموثوقة لاختراق الشبكات وبيع الوصول لعصابات الفدية.

تخيل أن تقوم بنشر أدوات أمان متقدمة، لتكتشف لاحقًا أنها استُخدمت كسلاح ضدك. هذه هي الحقيقة المقلقة التي تواجهها المؤسسات المستهدفة من قبل Storm-0249، وسيط الوصول الأولي الماكر الذي يعيد كتابة قواعد التسلل السيبراني. أحدث خدعهم؟ تحويل عميل SentinelOne الأمني نفسه إلى شريك صامت لهجمات الفدية.

حقائق سريعة

تستغل Storm-0249 أداة SentinelOne، وهي من أبرز أدوات حماية النقاط النهائية، لإخفاء عمليات الفدية.
تستخدم المجموعة تقنية تحميل مكتبات DLL الضارة ضمن العمليات الشرعية لتفادي الاكتشاف.
حملات التصيد وأساليب الهندسة الاجتماعية مثل "ClickFix" تغري الضحايا بتشغيل برامج تثبيت خبيثة.
يستغل المهاجمون أدوات ويندوز المدمجة (LoLBins) وينشئون نطاقات مزيفة تشبه مايكروسوفت لتجاوز الفلاتر الأمنية.
الهدف النهائي: بيع الوصول الخلفي لأكبر مجموعات الفدية مثل LockBit وALPHV.

حصان طروادة داخل نظام EDR الخاص بك

وفقًا لأبحاث حديثة من ReliaQuest وTrendMicro، انتقلت Storm-0249 من التصيد العام إلى هجمات مستهدفة للغاية تلتف على أدوات كشف واستجابة النقاط النهائية (EDR) المصممة لحماية المؤسسات. تعتمد خطتهم على تحميل مكتبات DLL الضارة، وهي تقنية يتم فيها تحميل مكتبة خبيثة بواسطة ملف تنفيذي شرعي وموقع رقمياً - هنا، SentinelAgentWorker.exe الخاص بـ SentinelOne.

هكذا تتم الهجمة: يتلقى الضحايا رسالة تصيد تحثهم على إصلاح مشكلة تقنية وهمية ("ClickFix"). باتباع التعليمات، يقومون دون علمهم بتشغيل برنامج تثبيت خبيث بامتيازات SYSTEM. يقوم هذا المثبت بإسقاط عميل SentinelOne أصلي موقع رقمياً في مجلد AppData الخاص بالمستخدم - بجوار مكتبة DLL ملغمة (SentinelAgentCore.dll). عند تشغيل العميل، يقوم بتحميل كود المهاجم بدلاً من المكتبة الحقيقية، وكل ذلك تحت غطاء العمليات الأمنية الروتينية.

تحت هذا الغطاء الشرعي، يمكن لـ Storm-0249 إنشاء قنوات اتصال مشفرة للتحكم والسيطرة، ودمج حركة المرور الخبيثة مع بيانات EDR الموثوقة. قد لا يلاحظ المدافعون الذين يراقبون النشاط الشبكي أي شيء - فكل شيء يبدو وكأنه يوم عادي لـ SentinelOne.

ما بعد تحميل DLL: التهرب بدون ملفات واستغلال LoLBins

لا يتوقف المهاجمون عند تحميل DLL الضارة. بل يستغلون ما يُعرف بـ "الثنائيات المدمجة في النظام" (LoLBins) مثل curl.exe وreg.exe - وهي أدوات ويندوز قياسية نادرًا ما تكتشفها برامج الحماية. على سبيل المثال، يُستخدم curl.exe لجلب سكريبتات خبيثة يتم تمريرها مباشرة إلى ذاكرة PowerShell، متجاوزة فحوصات مضادات الفيروسات التقليدية ولا تترك تقريبًا أي أثر.

كما تنشئ Storm-0249 نطاقات مزيفة تحاكي عناوين مايكروسوفت لخداع المستخدمين والفلاتر الأمنية معًا. وتشمل عمليات الاستطلاع استخراج معرفات النظام الفريدة (MachineGuid) لتخصيص الهجمات وزيادة قيمة إعادة البيع لمشتري الفدية.

الثقة المستغلة، لا المخترقة

من المهم التأكيد أن هذه ليست ثغرة في SentinelOne نفسه. بل يستغل المهاجمون الثقة الضمنية في الملفات التنفيذية الموقعة والشرعية - ويحولون أدوات المدافعين إلى حلفاء دون علمهم. إنها تذكرة قاسية: حتى أفضل برامج الحماية يمكن أن تُستخدم كسلاح إذا كان المهاجمون أذكياء بما فيه الكفاية.