Сторм-1175 поврзан со Кина го користи Zero-Days за брзо распоредување на Medusa Ransomware

Актор на закани со седиште во Кина, познат по користење на Medusa ransomware, е поврзан со злоупотреба на комбинација од zero-day и N-day ранливости за изведување „високобрзински“ напади и пробивање во ранливи системи изложени на интернет.

„Високото оперативно темпо на актерот на закани и неговата вештина во идентификување на изложени периферни ресурси се покажаа како успешни, при што неодамнешните упади силно ги погодија здравствените организации, како и организациите во образованието, професионалните услуги и финансискиот сектор во Австралија, Обединетото Кралство и Соединетите Американски Држави“, соопшти тимот на Microsoft Threat Intelligence.

Нападите изведени од Storm-1175 исто така користеле zero-day експлоити, во некои случаи уште пред тие да бидат јавно објавени, како и неодамна објавени ранливости за добивање почетен пристап. Во одредени инциденти, актерот комбинирал повеќе експлоити (на пр. OWASSRF) за активности по компромитирање на системите.

Откако ќе воспостави почетно присуство, финансиски мотивираниот сајбер-криминалец брзо преминува кон ексфилтрација на податоци и распоредување на Medusa ransomware во рок од неколку дена, или во некои случаи, во рок од 24 часа.
За да ги олесни овие активности, групата обезбедува постојаност преку креирање нови кориснички сметки, поставување web shell-ови или користење легитимен софтвер за далечинско следење и управување (RMM) за латерално движење, кражба на акредитиви и нарушување на нормалното функционирање на безбедносните решенија, пред да го активира ransomware-от.

Од 2023 година, Storm-1175 е поврзан со експлоатација на повеќе од 16 ранливости:

CVE-2023-21529 (Microsoft Exchange Server)
CVE-2023-27351 и CVE-2023-27350 (Papercut)
CVE-2023-46805 и CVE-2024-21887 (Ivanti Connect Secure и Policy Secure)
CVE-2024-1708 и CVE-2024-1709 (ConnectWise ScreenConnect)
CVE-2024-27198 и CVE-2024-27199 (JetBrains TeamCity)
CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728 (SimpleHelp)
CVE-2025-31161 (CrushFTP)
CVE-2025-10035 (Fortra GoAnywhere MFT)
CVE-2025-52691 и CVE-2026-23760 (SmarterTools SmarterMail)
CVE-2026-1731 (BeyondTrust)

И CVE-2025-10035 и CVE-2026-23760 се смета дека биле искористени како zero-day ранливости пред нивното јавно објавување. До крајот на 2024 година, хакерската група покажала тенденција да таргетира Linux системи, вклучително и искористување на ранливи Oracle WebLogic инстанци во повеќе организации. Сепак, точната ранливост што била злоупотребена во овие напади останува непозната.

„Storm-1175 брзо ги ротира експлоитите во периодот помеѓу нивното објавување и достапноста или примената на закрпи, искористувајќи го времето кога многу организации сè уште се незаштитени“, соопшти Microsoft.

Некои од позначајните тактики забележани во овие напади се:

• Користење на „living-off-the-land“ алатки (LOLBins), вклучително PowerShell и PsExec, заедно со Impacket за латерално движење низ мрежата.
• Потпирање на PDQ Deployer за латерално движење и испорака на payload-и, вклучувајќи го и Medusa ransomware, низ мрежата.
• Модифицирање на политики на Windows Firewall за да се овозможи Remote Desktop Protocol (RDP) и испорака на злонамерни payload-и до други уреди.
• Извлекување (dumping) на акредитиви со користење на Impacket и Mimikatz.
• Конфигурирање исклучоци во Microsoft Defender Antivirus за да се спречи блокирање на ransomware payload-ите.
• Користење на Bandizip и Rclone за собирање и ексфилтрација на податоци.

Поголемата импликација е дека RMM алатките како AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect или SimpleHelp сè повеќе стануваат инфраструктура со двојна намена за прикриени операции, бидејќи им овозможуваат на актерите на закани да го маскираат злонамерниот сообраќај во доверливи, енкриптирани платформи и да ја намалат веројатноста за детекција.

Извори:

• The Hacker News – China-Linked Storm-1175 Exploits Zero-Days to Rapidly Deploy Medusa Ransomware The Hacker News