Ancaman siber semakin berkembang dengan metode yang kian canggih. Peneliti keamanan menemukan bahwa kelompok peretas yang dilacak sebagai Storm-0249 kini memanfaatkan solusi Endpoint Detection and Response (EDR) serta utilitas bawaan Microsoft Windows untuk mengeksekusi malware secara tersembunyi, membangun komunikasi, dan mempertahankan akses dalam rangkaian serangan ransomware.
Evolusi Teknik Serangan
Storm-0249 diketahui telah beralih dari metode lama seperti mass phishing menuju pendekatan yang lebih halus dan sulit dideteksi. Dalam analisis yang dilakukan oleh perusahaan keamanan ReliaQuest, kelompok ini memanfaatkan komponen EDR SentinelOne untuk menyamarkan aktivitas berbahaya. Menurut peneliti, teknik serupa juga dapat diterapkan pada produk EDR lainnya.
Modus Operandi Storm-0249
Serangan dimulai dengan teknik rekayasa sosial bernama ClickFix, yang menipu korban agar mengeksekusi perintah curl melalui dialog Run di Windows. Perintah tersebut digunakan untuk mengunduh paket MSI berbahaya dengan hak akses SYSTEM.
Selain itu, skrip PowerShell jahat diambil dari domain palsu yang menyerupai milik Microsoft. Skrip ini langsung dijalankan di memori tanpa menyentuh disk, sehingga lolos dari deteksi antivirus.
Paket MSI kemudian menempatkan file DLL berbahaya bernama SentinelAgentCore.dll di lokasi yang sama dengan file sah SentinelAgentWorker.exe milik SentinelOne. Melalui teknik DLL sideloading, file jahat dijalankan menggunakan proses resmi EDR yang telah ditandatangani, sehingga aktivitas berbahaya tampak seperti operasi rutin.
Penyalahgunaan Proses Sah
Dengan memanfaatkan proses sah SentinelOne, Storm-0249 dapat mengumpulkan informasi sistem menggunakan utilitas Windows seperti reg.exe dan findstr.exe. Data tersebut kemudian dikirim melalui trafik HTTPS terenkripsi ke server command-and-control (C2).
Biasanya, aktivitas seperti kueri registri atau pencarian string akan memicu alarm. Namun, karena dijalankan dari proses EDR yang dipercaya, tindakan ini dianggap normal oleh mekanisme keamanan.
Peneliti juga menemukan bahwa sistem korban diprofilkan menggunakan MachineGuid, sebuah identitas unik berbasis perangkat keras. Identifier ini sering digunakan oleh kelompok ransomware besar seperti LockBit dan ALPHV untuk mengikat kunci enkripsi pada target tertentu.
Implikasi dan Rekomendasi
Temuan ini menunjukkan bahwa Storm-0249 melakukan kompromi awal sesuai kebutuhan afiliasi ransomware yang menjadi klien mereka. Dengan menyalahgunakan proses EDR yang sah, hampir semua sistem pemantauan tradisional dapat dilewati.
ReliaQuest menyarankan agar administrator sistem mengandalkan deteksi berbasis perilaku, khususnya untuk mengidentifikasi proses tepercaya yang memuat DLL tidak sah dari jalur non-standar. Selain itu, penerapan kontrol ketat terhadap eksekusi curl, PowerShell, dan Living-off-the-Land Binaries (LoLBins) menjadi langkah penting untuk memperkuat pertahanan.