“這些手段使其能夠繞過防御系統、滲透網絡、維持持久控制并隱蔽運作，給安全團隊帶來嚴重隱患，”ReliaQuest 在分享給《黑客新聞》（The Hacker News）的報告中表示。Storm-0249 是微軟為某初始訪問中介分配的代號，該組織曾向勒索軟件團伙、勒索攻擊者（如 Storm-0501）等其他網絡犯罪集團出售企業網絡訪問權限。微軟于 2024 年 9 月 首次公開披露該組織的相關活動。

今年早些時候，微軟還曝光了該威脅行為體發起的一場釣魚攻擊活動：攻擊者以稅務相關主題為誘餌，在美國報稅季前夕針對美國用戶實施攻擊，植入 Latrodectus 惡意軟件與 BruteRatel C4（BRc4）后滲透框架。

此類攻擊的最終目標是獲取多個企業網絡的持久訪問權限，并通過將這些權限出售給勒索軟件團伙實現變現 —— 這為勒索軟件集團提供了穩定的攻擊目標來源，同時加速了勒索攻擊的實施節奏。

ReliaQuest 的最新研究發現，Storm-0249 出現戰術轉型：該組織開始濫用臭名昭著的 ClickFix 社會工程戰術，以 “解決技術問題” 為借口，誘騙目標用戶通過 Windows 運行對話框（Run dialog）執行惡意命令。在該攻擊場景中，攻擊者通過命令復制執行合法工具 curl.exe，從一個仿冒微軟域名的鏈接（sgcipl[.]com/us.microsoft.com/bdo/）下載 PowerShell 腳本（虛假域名旨在獲取受害者信任），并通過 PowerShell 以無文件方式執行該腳本。這一操作會進一步觸發惡意 MSI 安裝包以 SYSTEM 權限運行，隨后在用戶的 AppData 文件夾中釋放一個偽造的 SentinelOne 終端安全解決方案相關 DLL 文件（SentinelAgentCore.dll），同時植入合法的 SentinelAgentWorker.exe 可執行文件。

攻擊者的核心意圖是：當 SentinelAgentWorker.exe 進程啟動時，通過DLL 劫持加載惡意 DLL，從而實現隱蔽運作。該惡意 DLL 隨后會與命令與控制（C2）服務器建立加密通信。

研究還發現，Storm-0249 會利用 reg.exe、findstr.exe 等合法 Windows 管理工具，提取 MachineGuid 等唯一系統標識符，為后續勒索軟件攻擊奠定基礎。這種駐留內存（LotL）戰術，加之所有命令均通過受信任的 SentinelAgentWorker.exe 進程執行，使得攻擊行為難以觸發安全告警。研究結果表明，Storm-0249 已從 “大規模釣魚攻擊” 轉向 “精準攻擊”—— 通過濫用已簽名進程的信任度，進一步提升攻擊的隱蔽性。

“這并非普通的偵察行為，而是在為勒索軟件附屬團伙做準備，”ReliaQuest 指出，“LockBit、ALPHV 等勒索軟件集團會利用 MachineGuid 將加密密鑰與受害者的單個系統綁定?！?/span>通過將加密密鑰與 MachineGuid 關聯，攻擊者可確保：即便防御者獲取了勒索軟件樣本或嘗試逆向破解加密算法，若沒有攻擊者控制的密鑰，也無法解密文件。