名為Storm-0249 的威脅行為者可能正在從初始存取代理的角色轉向採用更高級的策略，例如網域欺騙、DLL 側載入和無檔案 PowerShell 執行，以促進勒索軟體攻擊。

過去，初始存取代理（Initial Access Brokers, IABs）主要專注於滲透企業網絡並將初步立足點出售給更高階的勒索軟體團夥。然而，Storm-0249 的行為顯示其已具備更深層次的網路內操作能力。

ReliaQuest 在一份與 The Hacker News 分享的報告中表示：這些方法使他們能夠繞過防禦、滲透網絡、保持持久性，並且能夠不被發現地運行。

Storm-0249 採用的進階策略，例如 DLL 側載入 (DLL Sideloading)，允許攻擊者將惡意的動態連結庫（DLL）文件放置在 Windows 載入路徑中，使得合法的應用程式在啟動時錯誤地載入這個惡意 DLL，從而執行惡意程式碼。此外，無檔案 PowerShell 執行利用系統內建腳本語言在記憶體中運行，避免將惡意程式碼寫入磁碟，這兩種技術都極大地增加了傳統基於簽名或檔案監控的防禦系統的檢測難度。

 

LotL 策略與 MachineGuid 竊取

據觀察，Storm-0249 會利用合法的 Windows 管理工具（例如 reg.exe 和 findstr.exe）提取諸如 MachineGuid 之類的唯一系統標識符，為後續的勒索軟體攻擊奠定基礎。由於採用了「借力打力」（Living-off-the-land，簡稱 LotL）策略，並且這些命令是在受信任的「SentinelAgentWorker.exe」進程下運行的，因此這種活動不太可能引起任何警覺。

「借力打力」 (LotL) 策略的危險性在於它利用了企業環境中普遍存在且被信任的系統管理工具。安全監控系統通常不會對 reg.exe 或 findstr.exe 等合法進程發出的命令產生警報，除非它們被用於極不尋常的方式。Storm-0249 巧妙地將這些命令偽裝在一個受信任的安全代理程序（如 SentinelAgentWorker.exe）之下運行，這使得惡意活動在企業網路中幾乎隱形。

研究結果表明，網路釣魚攻擊已從大規模網路釣魚活動轉向精準攻擊，利用與簽名流程相關的信任來增強隱蔽性。ReliaQuest 公司表示：這不僅僅是普通的偵察——這是為勒索軟體團夥做準備。像 LockBit 和 ALPHV 這樣的勒索軟體團夥使用 MachineGuid 將加密金鑰綁定到各個受害者的系統上。

 

勒索軟體攻擊的隱蔽化與金鑰綁定機制

MachineGuid 是 Windows 系統在安裝時生成的一個獨一無二的識別碼。對勒索軟體操作者而言，竊取這個 ID 至關重要。

透過將加密金鑰與 MachineGuid 綁定，攻擊者可以確保即使防御者捕獲了勒索軟體二進位檔案或試圖對加密演算法進行逆向工程，他們也無法在沒有攻擊者控制的金鑰的情況下解密檔案。這種綁定機制強化了加密過程的不可逆性，迫使受害者必須支付贖金才能獲得與其特定系統 MachineGuid 匹配的解密金鑰，從而極大地提高了勒索軟體攻擊的效率和成功率。

Storm-0249 從單純的初始存取代理轉向執行這些高度複雜、隱蔽的偵察和預備活動，標誌著威脅行為者生態系統的進一步專業化，也對企業的行為分析和深度端點檢測與回應 (EDR) 能力提出了更高的要求。

註：
Storm-0249是微軟為一家初始存取代理機構指定的代號，該機構已將對組織的入侵入口出售給其他網路犯罪集團，包括像Storm-0501這樣的勒索軟體和敲詐勒索組織。這家科技巨頭於2024年9月首次揭露了該機構的存在。

資料來源：https://thehackernews.com/2025/12/storm-0249-escalates-ransomware-attacks.html