تشير أحدث تحليلات ReliaQuest إلى أن جهة التهديد Storm‑0249 بدأت تتحول من دورها التقليدي كوسيط وصول أولي إلى اعتماد تكتيكات أكثر تطورًا، تشمل انتحال النطاقات، وحقن DLL عبر sideloading، وتشغيل PowerShell دون ملفات، بهدف تمهيد الطريق لهجمات فدية عالية الدقة.
وتوضح الشركة أن هذه الأساليب تمنح المهاجمين قدرة أكبر على تجاوز الدفاعات، والتسلل إلى الشبكات، والحفاظ على وجود خفي، ما يرفع مستوى القلق لدى فرق الأمن.
وقد صنّفت مايكروسوفت Storm‑0249 كوسيط وصول يبيع نقاط اختراق جاهزة لعصابات الفدية والابتزاز مثل Storm‑0501، وبرز نشاطه لأول مرة في سبتمبر 2024.
حملات تصيّد متقدمة وتمهيد للوصول المستمر
في وقت سابق من العام، كشفت مايكروسوفت عن حملة تصيّد نفذتها الجهة نفسها باستخدام رسائل ضريبية تستهدف مستخدمين في الولايات المتحدة قبل موسم الإقرارات الضريبية، بهدف نشر برمجيات مثل Latrodectus وإطار BruteRatel C4 لما بعد الاختراق.
الغاية الأساسية من هذه الهجمات هي الحصول على وصول مستمر لشبكات المؤسسات ثم بيع هذا الوصول لعصابات الفدية، مما يسرّع وتيرة الهجمات ويزيد من عدد الضحايا المحتملين.
استغلال ClickFix لخداع الضحايا وتشغيل أوامر خبيثة
تكشف ReliaQuest أن Storm‑0249 تبنّت مؤخرًا أسلوب ClickFix الشهير في الهندسة الاجتماعية، والذي يعتمد على خداع المستخدمين لتشغيل أوامر ضارة عبر نافذة Windows Run بحجة إصلاح مشكلة تقنية.
في السيناريو المكتشف، يستخدم المهاجمون أداة curl.exe لتنزيل سكربت PowerShell من رابط ينتحل نطاق مايكروسوفت sgcipl[.]com/us.microsoft.com/bdo/ ثم تشغيله دون ملفات، ما يجعل اكتشافه أكثر صعوبة.
ينتج عن ذلك تنفيذ حزمة MSI خبيثة بامتيازات SYSTEM، تقوم بإسقاط DLL مُطعّم مرتبط بحل SentinelOne الأمني داخل مجلد AppData، إلى جانب ملف تنفيذي شرعي هو SentinelAgentWorker.exe.
DLL Sideloading للبقاء خفيًا داخل العمليات الموثوقة
عند تشغيل الملف التنفيذي الشرعي، يتم تحميل DLL الخبيث تلقائيًا، مما يسمح للمهاجمين بالعمل داخل عملية موثوقة دون إثارة الشبهات. ويبدأ DLL بعد ذلك اتصالًا مشفرًا مع خادم تحكم وسيطرة (C2).
كما رُصد استخدام أدوات ويندوز الشرعية مثل reg.exe وfindstr.exe لاستخراج معرفات النظام مثل MachineGuid، وهي خطوة تمهيدية شائعة قبل نشر الفدية.
الاعتماد على أدوات النظام الأصلية (Living‑off‑the‑Land) وتنفيذ الأوامر تحت مظلة عملية موثوقة مثل SentinelAgentWorker.exe يجعل النشاط شبه غير مرئي لأنظمة المراقبة.
استعداد مباشر لهجمات فدية موجهة
تشير النتائج إلى تحول واضح من حملات التصيّد الواسعة إلى هجمات دقيقة تستغل الثقة في العمليات الموقّعة لزيادة التخفي.
وتوضح ReliaQuest أن هذه الأنشطة ليست مجرد استطلاع، بل تهيئة مباشرة لعمليات فدية، إذ تعتمد مجموعات مثل LockBit وALPHV على MachineGuid لربط مفاتيح التشفير بكل جهاز ضحية.
هذا الربط يجعل فك التشفير مستحيلًا دون المفتاح الذي يحتفظ به المهاجم، حتى لو حصل المدافعون على العينة البرمجية أو حاولوا تحليل خوارزمية التشفير.
