Storm-1175: новото поколение бързи и координирани атаки

Нова заплаха, идентифицирана от Microsoft чрез звеното Microsoft Threat Intelligence, показва тревожна еволюция в ransomware операциите. Групата, проследявана като Storm-1175, значително съкращава времето между първоначалния достъп и криптирането на системите – в някои случаи до няколко часа.

Този подход елиминира традиционния „прозорец за реакция“, на който разчитат защитните екипи, и поставя организациите под сериозен риск, особено при забавено прилагане на пачове.

Атака със скорост: от уязвимост до компрометиране за часове

Кампанията на Storm-1175 се отличава с:

• експлоатиране на десетки уязвимости едновременно
• насочване към периода между публикуване на уязвимост и нейното пачване
• използване на zero-day слабости дори преди публичното им разкриване

От 2023 г. насам групата е използвала над 16 уязвимости в широко разпространени платформи, включително:

• Microsoft Exchange
• решения на ConnectWise
• различни системи за файлов трансфер

Тази стратегия позволява на атакуващите да автоматизират и ускорят целия kill chain – от първоначален достъп до пълна компрометация.

Техники след проникване: бърза ескалация и разпространение

След като получи достъп, Storm-1175 действа незабавно:

• създава нови потребителски акаунти за устойчивост
• внедрява web shell-и
• използва легитимен RMM софтуер за странично придвижване

За вътрешно разпространение и контрол групата използва инструменти като:

• PowerShell
• PsExec
• Impacket

Освен това атакуващите:

• променят firewall правилата на Windows за отдалечен достъп
• използват инструменти като PDQ Deploy за масово разгръщане на зловреден код

Крайната цел почти винаги е внедряване на Medusa ransomware.

Разширяване на обхвата: атаки срещу Linux и Oracle среди

Интересна е и способността на групата да атакува извън Windows екосистемата. В края на 2024 г. са наблюдавани атаки срещу:

• уязвими инстанции на Oracle WebLogic

В тези случаи не е напълно ясно коя конкретна уязвимост е била използвана, което подсказва възможна употреба на непублични експлойти.

Кои са целите: не индустрията, а експозицията

Жертвите на Storm-1175 обхващат широк спектър от сектори:

• здравеопазване
• образование
• финанси
• професионални услуги

Географски атаките са насочени към организации в САЩ, Великобритания и Австралия. Общият знаменател обаче не е индустрията, а наличието на непачнати системи, достъпни от интернет.

Скриване в легитимни инструменти: новото предизвикателство за защитата

Една от най-опасните характеристики на кампанията е използването на напълно легитимни корпоративни инструменти. Това позволява:

• прикриване на злонамерената активност
• използване на криптирани канали
• избягване на традиционните системи за детекция

Този подход значително усложнява работата на SOC екипите и изисква по-задълбочен поведенчески анализ.

По-широкият контекст: ескалация на китайски APT операции

Активността на Storm-1175 е част от по-широка тенденция на засилена агресивност от страна на китайски групи. Наскоро експерти сигнализираха и за завръщането на TA416, известна със своите шпионски кампании срещу ЕС и НАТО.

Допълнително, се наблюдават операции, при които се злоупотребява с:

• облачни платформи
• легитимни онлайн услуги
• криптирани комуникационни канали

Препоръки за защита: какво трябва да направят организациите

На база анализа на Microsoft, ключовите мерки включват:

• незабавно прилагане на пачове (patch management)
• ограничаване на достъпа до интернет за критични системи
• въвеждане на Zero Trust модел
• мониторинг на легитимни инструменти за аномалии
• използване на IoC индикатори за ранно откриване

Storm-1175 демонстрира нова фаза в развитието на ransomware атаките – максимална скорост, автоматизация и ефективност. В тази среда дори кратко забавяне в реакцията може да бъде фатално за организациите.