TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究のログ

トップ > 攻撃組織: Storm-0249 (IAB) > Storm-0249 Escalates Ransomware Attacks with ClickFix, Fileless PowerShell, and DLL Sideloading

Storm-0249 Escalates Ransomware Attacks with ClickFix, Fileless PowerShell, and DLL Sideloading

攻撃組織: Storm-0249 (IAB) イニシャル・アクセス・ブローカー / 初期アクセスブローカー / IAB *マルウェア種別: ランサムウェア / Ransomware 攻撃手法: ClickFix 攻撃手法: ファイルレスマルウェア ファイルレスPowerShell 攻撃方法: DLLサイドローディング MachineGuid

【訳】

Storm-0249、ClickFix、ファイルレスPowerShell、DLLサイドローディングでランサムウェア攻撃をエスカレート


【要点】

◎Storm-0249 がClickFix・ファイルレスPowerShell・DLLサイドローディングで検知回避性を高め、ランサムウェア攻撃準備へ移行。MachineGuid収集など、LockBit系が利用する前処理も確認され、初期アクセスブローカーから高度攻撃者へ変貌している。


【要約】

Storm-0249 は元々ランサムウェア集団へ“初期アクセス”を販売するブローカーとして知られてきたが、最近は ClickFix 型ソーシャルエンジニアリング、ファイルレス PowerShell、DLL サイドローディングなど高度な戦術を組み合わせ、より洗練されたランサムウェア攻撃の準備行動を取っている。偽装URLから curl.exe 経由で悪性 PowerShell を実行し、SentinelOne 正規プロセス(SentinelAgentWorker.exe)を悪用して不正 DLL(SentinelAgentCore.dll)をサイドロード。これによりC2通信確立と持続化を確保する。さらに reg.exe / findstr.exe を使い MachineGuid などの固有識別情報を収集し、LockBitやALPHVなどが用いる「被害者固有キー生成」に必要な前処理も行う。大量フィッシング中心だった同グループが、検知回避と永続化に重点を置く高度なランサムウェア前段作戦へ移行したことが明確となった。


【ニュース】

◆Storm-0249 Escalates Ransomware Attacks with ClickFix, Fileless PowerShell, and DLL Sideloading (The Hacker News, 2025/12/09)
[Storm-0249、ClickFix、ファイルレスPowerShell、DLLサイドローディングでランサムウェア攻撃をエスカレート]
https://thehackernews.com/2025/12/storm-0249-escalates-ransomware-attacks.html


【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)
  ◆サイバー犯罪組織 (まとめ)

◆Storm-0249 (まとめ)
https://malware-log.hatenablog.com/entry/Storm-0249

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023