Китайская киберпреступная группировка, отслеживаемая как Storm-1175, активно использует комбинацию уязвимостей нулевого дня (zero-day) и уже известных, но не закрытых (N-day), чтобы проводить высокоскоростные атаки на интернет-экспонированные системы и разворачивать вымогатель Medusa ransomware. По данным Microsoft Threat Intelligence, деятельность группы отличается высокой интенсивностью и тщательно выстроенными техниками первоначального доступа и дальнейшего продвижения по сети.
Основные цели атак Storm-1175 и география кампаний
По наблюдениям специалистов, наибольший ущерб от атак Storm-1175 несут организации в сфере здравоохранения, образования, профессиональных услуг и финансов. Наиболее активно фиксируются инциденты в Австралии, Великобритании и США. Такой выбор целей объясняется высокой концентрацией конфиденциальных данных и критичностью непрерывного функционирования ИТ-инфраструктуры, что делает жертв более склонными к выплате выкупа.
Отличительной чертой группы является оперативное выявление уязвимых пограничных ресурсов — веб-приложений, VPN-шлюзов, почтовых серверов и других систем, доступных из интернета. Злоумышленники быстро сканируют периметр, сопоставляют найденные сервисы с известными или новыми уязвимостями и практически сразу пытаются их эксплуатировать.
Эксплуатация zero-day и N-day уязвимостей: от OWASSRF до CVE-2025-10035
Storm-1175 активно комбинирует эксплуатацию уязвимостей нулевого дня с атаками на недавно раскрытые и еще не исправленные N-day уязвимости. В ряде инцидентов группа использовала эксплойты до их публичного раскрытия, что указывает на наличие собственных исследовательских возможностей либо доступ к частным exploit-китам.
По данным Microsoft, с 2023 года Storm-1175 связана с эксплуатацией более 16 уязвимостей, включая CVE-2025-10035 и CVE-2026-23760, которые применялись как zero-day до публикации информации о них. В некоторых атаках злоумышленники объединяли несколько уязвимостей в так называемые эксплойт-цепочки, например, по типу техники OWASSRF, чтобы повысить привилегии, обойти аутентификацию и упростить дальнейшее продвижение по сети.
Смещение фокуса на Linux и Oracle WebLogic
К концу 2024 года у Storm-1175 прослеживается явный интерес к Linux-системам. Группа атакует уязвимые инсталляции Oracle WebLogic в разных организациях. Хотя конкретная уязвимость, используемая в этих атаках, официально не раскрыта, сам факт целенаправленного поиска и компрометации WebLogic подчеркивает тренд: атакующие активно выходят за рамки традиционных Windows-сред, чтобы охватить максимально широкий спектр инфраструктуры.
Скорость атаки: от первоначального доступа до шифрования за 24 часа
После получения первоначального доступа Storm-1175 действует предельно быстро. По данным Microsoft, в ряде эпизодов между первым проникновением и развертыванием Medusa ransomware проходило всего до 24 часов. В большинстве случаев весь цикл укладывается в несколько дней, что существенно сокращает окно для обнаружения и реагирования.
Техника закрепления и продвижения по сети
Для закрепления в инфраструктуре и последующего распространения злоумышленники используют целый спектр техник:
- создание новых локальных и доменных учетных записей с повышенными привилегиями;
- размещение web-shell на скомпрометированных веб-серверах;
- развертывание легитимных RMM-инструментов (AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect, SimpleHelp) для удаленного доступа;
- кража учетных данных (credential theft) из памяти, файлов конфигурации и хранилищ паролей;
- отключение или обход антивирусов, EDR и других средств защиты перед запуском шифровальщика.
Использование законных RMM-систем превращает их в инфраструктуру двойного назначения: трафик от атакующих маскируется под обычную администрирование, идет по зашифрованным каналам и часто воспринимается как легитимный, что существенно усложняет детектирование.
Оборотная сторона быстрого цикла уязвимость–патч–эксплуатация
По оценке Microsoft, Storm-1175 максимально быстро переключает используемые эксплойты в промежутке между публичным раскрытием уязвимости и массовым внедрением патчей. На практике это означает, что каждый новый бюллетень безопасности создает короткий, но крайне опасный период, когда многие организации еще не успели обновить системы, а злоумышленники уже активно автоматизировали эксплуатацию.
Подобная тактика подчеркивает критическую важность оперативного управления уязвимостями: приоритизации критичных CVE, мониторинга эксплойтов «в дикой природе» и ускоренного тестирования и установки исправлений, особенно для систем, доступных из интернета.
Чтобы снизить риск компрометации со стороны группировок вроде Storm-1175, организациям рекомендуется: минимизировать поверхность атаки на периметре, внедрять строгую сегментацию сети, контролировать использование RMM-софта (разрешать только утвержденные инструменты и серверы управления), включать поведенческий анализ для выявления аномальной активности учетных записей и процессов, а также регулярно отрабатывать сценарии реагирования на инциденты с вымогательским ПО. Чем короче путь от обнаружения подозрительных действий до изоляции узла, тем меньше шансов у Medusa ransomware и подобных семей шифровальщиков нанести критический ущерб.
