Китайська кіберзлочинна група, відстежувана Microsoft як Storm-1175, розгорнула масштабні кампанії із використанням комбінації zero-day та вже відомих, але не пропатчених N-day уразливостей. Її ціль — максимально швидко зламати інтернет-експоновані системи організацій та розгорнути вимагач Medusa ransomware, мінімізуючи час на виявлення й реагування з боку захисту.
Storm-1175: профіль кіберугруповання та основні мішені атак
За даними Microsoft Threat Intelligence, Storm-1175 спеціалізується на атаках проти організацій у сферах охорони здоров’я, освіти, професійних послуг і фінансів. Найбільше інцидентів зафіксовано в Австралії, Великій Британії та США. Такі сектори мають високу концентрацію конфіденційних даних і критичну залежність від безперервної роботи IT-сервісів, що підвищує імовірність виплати викупу після шифрування даних.
Ключова відмінність Storm-1175 — агресивне та системне сканування периметра. Група автоматизовано виявляє вразливі веб-додатки, VPN-шлюзи, поштові сервери та інші інтернет-експоновані системи, а потім зіставляє їх із переліком відомих і нових уразливостей, намагаючись експлуатувати їх фактично в реальному часі.
Zero-day та N-day уразливості: тактика швидкої експлуатації Storm-1175
Storm-1175 поєднує атаки на zero-day (раніше невідомі уразливості, для яких ще немає патчів) з масовою експлуатацією N-day — нещодавно розкритих проблем безпеки, виправлення для яких уже існують, але не впроваджені в більшості організацій. У ряді випадків Microsoft зафіксувала використання експлойтів до їх публічного розкриття, що вказує на наявність власної дослідницької бази або доступ до приватних exploit-китів.
З 2023 року Storm-1175 пов’язують з експлуатацією понад 16 уразливостей, включно з CVE-2025-10035 і CVE-2026-23760, які застосовувалися як zero-day. У низці атак зловмисники вибудовували експлойт-ланцюжки, подібні до відомої техніки OWASSRF (поєднання уразливостей у Outlook Web Access та SSRF), що дозволяє обходити автентифікацію, підвищувати привілеї й швидко розширювати контроль над мережею.
Зміщення фокуса на Linux і Oracle WebLogic
До кінця 2024 року дослідники Microsoft відзначили помітне зміщення інтересу Storm-1175 у бік Linux-інфраструктури. Група активно атакує уразливі інсталяції Oracle WebLogic, які часто використовуються як критичні бізнес-платформи. Хоча конкретна уразливість у цих кампаніях публічно не названа, сама орієнтація на WebLogic і Linux-сервіси відображає ширший тренд: рівень ризику для не-Windows середовищ стрімко зростає, тоді як їхній захист традиційно приділяє менше уваги.
Ланцюг атаки: від початкового доступу до Medusa ransomware за 24 години
Після первинного проникнення Storm-1175 діє з максимальною швидкістю. У деяких випадках між першим успішним зламом і повноцінним розгортанням Medusa ransomware проходило до 24 годин; у більшості інцидентів повний цикл атаки займав кілька днів. Це суттєво скорочує часове вікно, в межах якого служба безпеки може помітити аномалії й заблокувати зловмисників до шифрування даних.
Методи закріплення, латерального руху та підготовки до шифрування
Після отримання доступу Storm-1175 застосовує широкий набір технік для закріплення й подальшого просування мережею:
- створення нових локальних і доменних облікових записів із підвищеними привілеями;
- розгортання web-shell на зламаних веб-серверах для постійного віддаленого доступу;
- встановлення легітимних RMM-інструментів (AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect, SimpleHelp);
- крадіжка облікових даних із пам’яті, конфігураційних файлів та сховищ паролів;
- відключення або обходження антивірусів, EDR та інших систем захисту безпосередньо перед запуском шифрувальника.
Зловживання RMM-софтом як інфраструктурою подвійного призначення
Використання легітимних Remote Monitoring and Management (RMM)-рішень перетворює їх на інфраструктуру подвійного призначення. Трафік від зловмисників виглядає як звичайна адміністративна активність, проходить по зашифрованих каналах і часто не викликає підозр. Без жорсткої політики дозволених RMM-інструментів і централізованого контролю такі з’єднання легко губляться в загальному шумі подій.
Критичне вікно між релізом патчів і масовим оновленням
За оцінкою Microsoft, Storm-1175 швидко змінює набір експлойтів, фокусуючись на вікні між публічним розкриттям уразливості й широким впровадженням оновлень. На практиці це означає, що кожен новий бюлетень безпеки створює короткий, але вкрай небезпечний період, коли експлуатація вже автоматизована, а значна частина організацій ще не встигла оновитися.
Як знизити ризики атак Storm-1175 та Medusa ransomware
Для протидії Storm-1175 та подібним угрупованням критично важливими стають проактивне управління уразливостями і жорсткий контроль за периметром:
- пріоритизація й прискорене тестування патчів для критичних CVE, особливо для систем, доступних з інтернету;
- мінімізація площі атаки: вимкнення непотрібних сервісів, винесення адміністративних інтерфейсів з публічного доступу;
- впровадження та принципу найменших привілеїв для облікових записів;
- жорстка політика щодо RMM-софту: дозволені лише затверджені інструменти, відомі сервери керування й контроль аномальної активності;
- використання поведінкової аналітики (UEBA, EDR) для виявлення нетипових дій облікових записів і процесів;
- регулярні навчальні тренування з реагування на інциденти з ransomware, щоб скоротити час від виявлення до ізоляції вузла.
Чим меншим буде шлях від фіксації підозрілої активності до блокування доступу зловмисників, тим нижчою буде ймовірність успішного розгортання Medusa ransomware або інших шифрувальників. Організаціям слід розглядати кожне вікно між виходом патчів і оновленням як змагання з такими групами, як Storm-1175: хто першим скористається уразливістю — кіберзлочинці чи команда захисту.
