В мире информационной безопасности время между публичным раскрытием уязвимости и установкой заплатки администраторами давно называют "окном угрозы". Именно в этот период системы наиболее уязвимы для атак. Однако немногие злоумышленники действуют настолько стремительно, чтобы превращать это окно в дверь для полномасштабного вторжения. Группа, отслеживаемая аналитиками Microsoft Threat Intelligence под кодовым именем Storm-1175, демонстрирует именно такую тактику: она специализируется на высокоскоростных кампаниях с использованием программ-вымогателей, мгновенно оружизируя только что обнародованные уязвимости в публично доступных системах. Их атаки на организации здравоохранения, образования, финансового и профессионального секторов в Австралии, Великобритании и США показывают, насколько разрушительной может быть задержка даже в несколько дней между получением бюллетеня безопасности и его практическим применением.
Описание
Storm-1175 представляет собой классический пример финансово мотивированной группы, работающей по модели Ransomware-as-a-Service (программы-вымогатели как услуга). Их операционный темп поражает: от момента первоначального проникновения до шифрования данных и их хищения часто проходит всего несколько суток, а в ряде случаев - менее 24 часов. Такую скорость обеспечивает фокусировка на так называемых N-day уязвимостях (недавно раскрытых, но ещё не закрытых на большинстве систем). Группа поддерживает обширный арсенал эксплойтов и оперативно обновляет его, следя за выходящими отчетами. Microsoft в своём отчёте указывает, что с 2023 года Storm-1175 использовала для начального доступа более 16 уязвимостей в популярных корпоративных продуктах, включая Microsoft Exchange, PaperCut, Ivanti Connect Secure, ConnectWise ScreenConnect, JetBrains TeamCity и другие. Показателен случай с уязвимостью CVE-2025-31324 в SAP NetWeaver: проблема была раскрыта 24 апреля 2025 года, а уже 25 апреля аналитики зафиксировали её эксплуатацию Storm-1175.
Примечательно, что группа не ограничивается уже известными миру проблемами. Зафиксированы случаи, когда Storm-1175 применяла эксплойты для zero-day уязвимостей (ранее неизвестных) за неделю до их публичного раскрытия, как это было с CVE-2026-23760 в почтовом сервере SmarterMail и CVE-2025-10035 в файловом менеджере GoAnywhere MFT. Это говорит либо о развитых собственных возможностях по поиску уязвимостей, либо о доступе к услугам брокеров эксплойтов. Однако основной профиль группы остаётся прежним - охота за "свежими" N-day уязвимостями, где конкуренция со стороны других злоумышленников ниже, а количество незащищённых систем - максимально.
Атака развивается по отработанному сценарию. После эксплуатации уязвимости на периметре (например, в веб-интерфейсе почтового сервера) злоумышленники немедленно закрепляются в системе. Стандартный приём - создание новой учётной записи с правами администратора. С этой позиции начинается разведка и горизонтальное перемещение по сети. Storm-1175 активно использует легитимные инструменты, что затрудняет обнаружение. В ход идут как встроенные средства Windows (PowerShell, PsExec), так и сторонние решения для удалённого управления и мониторинга (RMM), такие как Atera, AnyDesk, ConnectWise ScreenConnect. Эти же инструменты часто используются ИТ-отделами для администрирования, что позволяет активности злоумышленников сливаться с фоновыми процессами.
Для доставки вредоносных нагрузок, включая окончательный payload программы-вымогателя, группа применяет легальное средство развёртывания ПО PDQ Deployer. Оно позволяет выполнять установку приложений на множестве компьютеров в сети тихо и без запросов пользователю, что идеально подходит для скрытного распространения ransomware. Параллельно с движением по сети идёт кража учётных данных. Storm-1175 использует как специализированные утилиты вроде Mimikatz, так и продвинутые техники работы с памятью, например, дамп процесса LSASS для извлечения хэшей паролей. Получение привилегий доменного администратора открывает доступ к базе Active Directory (файл NTDS.dit), что фактически ставит под контроль всю инфраструктуру.
Ключевым этапом перед шифрованием является нейтрализация систем защиты. Группа вручную изменяет настройки антивирусного ПО, добавляя исключения для целых дисков или отключая функции мониторинга через редактирование реестра Windows. Это требует высоких привилегий, что вновь подчёркивает важность быстрого обнаружения краж учётных данных. Финальный аккорд - это двойной шантаж по модели double extortion. Перед запуском шифровальщика Medusa данные в большом объёме вывозятся из сети с помощью инструментов вроде Rclone на управляемые злоумышленниками облачные ресурсы. Таким образом, организация оказывается перед выбором: заплатить за ключ расшифровки, чтобы восстановить работу, или же заплатить за неразглашение конфиденциальной информации, которая уже украдена.
Атаки Storm-1175 - это наглядный урок критической важности оперативного управления обновлениями безопасности. Окно между disclosure (раскрытием) уязвимости и patch (установкой заплатки) постоянно сжимается благодаря таким группам. Защита требует комплексного подхода: постоянный мониторинг внешней атакуемой поверхности для учёта всех интернет-доступных активов, строгое следование политике минимально необходимых привилегий для пользователей и служб, сегментация сети для усложнения горизонтального перемещения, а также внедрение решений для обнаружения аномалий в использовании легитимных административных инструментов. В условиях, когда злоумышленники могут превратить свежий бюллетень безопасности в работающую атаку за один день, процедура тестирования и установки исправлений должна быть максимально автоматизирована и приоритизирована.
