Storm-0249 setzt auf neue Tarntricks: ClickFix und dateilose PowerShell : Ein Initial-Access-Akteur rüstet auf – mit Social Engineering, LotL-Taktiken und DLL-Sideloading
Storm-0249 professionalisiert seine Angriffe und nutzt zunehmend Techniken, die klassische Abwehrmechanismen unterlaufen. Die neue Kombination aus ClickFix-Social-Engineering, dateiloser PowerShell und DLL-Sideloading verschafft dem Akteur einen nahezu unsichtbaren Zugang zu Unternehmensnetzen.
Storm-0249, ursprünglich als reiner Vermittler kompromittierter Zugänge bekannt, hat seine operative Rolle deutlich erweitert. Statt lediglich Einstiegspunkte an Ransomware-Gruppen wie Storm-0501 zu verkaufen, setzt der Akteur nun auf präzisere und technisch anspruchsvollere Methoden. Auffällig ist insbesondere die Nutzung von Domain-Spoofing, manipulierten Bibliotheken und dateilosen PowerShell-Skripten, die Sicherheitskontrollen elegant umgehen.
Bereits Anfang dieses Jahres veröffentlichte Microsoft Informationen über eine von Storm-0249 gesteuerte Phishing-Kampagne, die schon erkennen ließ, wohin die Reise geht. Dabei nutzte der Angreifer Themen rund um Steuern, um Nutzer in den Vereinigten Staaten kurz vor Beginn der Steuererklärungssaison gezielt anzusprechen. Wer auf die Nachrichten hereinfiel, wurde anschließend mit der Schadsoftware Latrodectus und dem Post-Exploitation-Werkzeug BruteRatel C4 infiziert.
Das eigentliche Ziel dieser Aktionen ist es, sich langfristig Zugriff auf unterschiedliche Unternehmensnetzwerke zu sichern. Diese Zugänge verkauft Storm-0249 anschließend an Ransomware-Gruppen. Die Banden erhalten dadurch ständig neue, bereits vorbereitete Ziele und können ihre Angriffe schneller und in höherer Frequenz durchführen.
ClickFix als Einfallstor
Der jüngste Bericht von ReliaQuest beschreibt den strategischen Wechsel in aller Deutlichkeit: Storm-0249 setzt verstärkt auf die Social-Engineering-Masche ClickFix. Dabei werden Opfer unter einem technischen Vorwand dazu verleitet, über den Windows-Ausführungsdialog einen scheinbar harmlosen Befehl auszuführen.
In diesem Fall sorgt der so ausgeführte Befehl dafür, dass die eigentlich harmlose Windows-Anwendung curl ein PowerShell-Skript von einer manipulierten Internetadresse herunterlädt. Diese Adresse sieht so aus, als gehöre sie zu Microsoft, damit die Aktion vertrauenswürdig wirkt. Das Skript wird anschließend direkt in PowerShell ausgeführt, ohne als Datei auf der Festplatte zu erscheinen – und bleibt dadurch für viele Sicherheitsmechanismen unsichtbar.
Trojanisierte Schutzkomponenten als Tarnung
Durch das PowerShell-Skript wird anschließend ein bösartiges Installationspaket gestartet, das mit den höchsten Systemrechten läuft. Dieses Paket legt im AppData-Ordner des Nutzers zwei Dateien ab: eine manipulierte Bibliothek, die so aussieht, als gehöre sie zu der Sicherheitssoftware SentinelOne, und die dazugehörige echte ausführbare Datei.
Der Trick dahinter: Wenn die echte Datei gestartet wird, lädt sie automatisch auch die manipulierte Bibliothek. So kann der Schadcode im Schutz des legitimen Programms laufen, ohne Verdacht zu erregen. Sobald die Bibliothek aktiv ist, baut sie eine verschlüsselte Verbindung zu einem Steuerungsserver der Angreifer auf.
Zusätzlich nutzt Storm-0249 normale Windows-Werkzeuge wie reg und findstr, um eindeutige Systemdaten wie die MachineGuid auszulesen. Diese Informationen sind wichtig für spätere Ransomware-Angriffe. Da die Befehle über den vertrauenswürdigen SentinelOne-Prozess ausgeführt werden und als reguläre Systemwerkzeuge erscheinen, lösen sie bei vielen Sicherheitslösungen keinen Alarm aus.
Living-off-the-Land für leise Auskundschaftung
ReliaQuest betont, dass Storm-0249 nicht einfach nur Daten sammelt, sondern gezielt Vorarbeit für spätere Ransomware-Angriffe leistet. Gruppen wie LockBit und ALPHV nutzen die eindeutige Kennung eines Computers, die MachineGuid, um den Verschlüsselungsschlüssel genau an dieses eine System zu binden.
Dadurch entsteht ein großer Vorteil für die Angreifer: Selbst wenn Sicherheitsforscher die Schadsoftware analysieren oder den Verschlüsselungsmechanismus nachvollziehen können, hilft ihnen das nicht weiter. Ohne den speziellen Schlüssel, den die Ransomware für genau dieses Gerät erzeugt hat und den nur die Angreifer besitzen, lassen sich die verschlüsselten Dateien nicht wiederherstellen.
Von breitem Phishing zu gezielten Kompromittierungen
Die Entwicklung zeigt eine klare Abkehr von massenhaften Phishing-Wellen, die Storm-0249 noch im vergangenen Jahr betrieb. Stattdessen agiert der Akteur heute selektiv und setzt auf vertrauenswürdige Prozesse, um Alarmmechanismen zu umgehen. Die Nutzung signierter Programme und bekannter Systemwerkzeuge erzeugt ein hohes Maß an Tarnung und erschwert Verteidigern die Erkennung erheblich.
Eine neue Dynamik für Ransomware-Ökosysteme
Mit der technischen Aufrüstung von Storm-0249 verschiebt sich auch das Ökosystem der Erpressungsangriffe. Wenn Initial-Access-Akteure nicht nur den Zutritt vermitteln, sondern gleich hochgradig getarnte Persistenz-Mechanismen einbauen, beschleunigt das nachgelagerte Ransomware-Operationen. Organisationen sehen sich damit einer professionelleren, arbeitsteilig organisierten Angriffslandschaft gegenüber.
Die aktuellen Erkenntnisse verdeutlichen: Der Weg von der ersten Täuschung bis zum vollwertigen Ransomware-Einsatz wird kürzer, leiser und schwieriger zu durchschauen. Für Verteidiger bedeutet dies, vermehrt auf verhaltensbasierte Erkennung, tiefgehende PowerShell-Analyse und eine strenge Überwachung signierter Prozesse zu achten.