В мире киберпреступности, ориентированной на финансовую выгоду, скорость часто становится решающим фактором успеха. Пока компании анализируют свежие бюллетени об уязвимостях и планируют работы по обновлению, злоумышленники уже вовсю используют эти "окна уязвимости" для масштабных атак. Яркий пример такой оперативной модели продемонстрировала группировка, отслеживаемая экспертами Microsoft Threat Intelligence под идентификатором Storm-1175. Её тактика построена на сверхбыстром оружизации так называемых N-day уязвимостей - недостатков, информация о которых уже опубликована, но исправления ещё не широко внедрены. Результатом становятся высокоскоростные кампании с развёртыванием программы-вымогателя Medusa, которые наносят значительный ущерб ключевым секторам, включая здравоохранение, образование и финансы.
Описание
Аналитики Microsoft в своём отчёте детально описали модус операнди Storm-1175, который, несмотря на использование распространённых техник, выделяется беспрецедентной скоростью атаки. После получения первоначального доступа через уязвимые, обращённые к интернету системы (веб-серверы, шлюзы удалённого доступа, системы управления почтой), группа способна в течение нескольких дней, а в некоторых случаях - всего за 24 часа, пройти полный цикл от проникновения до хищения данных и шифрования инфраструктуры жертвы. Недавние инциденты затронули организации в Австралии, Великобритании и США, подтверждая глобальный характер угрозы.
Ключевым элементом успеха Storm-1175 является фокус на недавно раскрытых уязвимостях в популярном корпоративном программном обеспечении. С 2023 года группа использовала для первоначального доступа более 16 различных CVE. В их арсенале - критические уязвимости в Microsoft Exchange, решениях для удалённого доступа Ivoni Connect Secure, платформе TeamCity от JetBrains, средствах удалённого управления ConnectWise ScreenConnect и многих других. Группа оперативно ротирует эксплойты, максимально используя период между публикацией информации об уязвимости и массовым применением заплаток. Например, уязвимость CVE-2025-31324 в SAP NetWeaver была использована Storm-1175 уже на следующий день после её раскрытия. Более того, в ряде случаев группировка демонстрировала доступ к эксплуатации zero-day уязвимостей, то есть таких, о которых ещё не было публично известно. Это наблюдалось, в частности, с уязвимостями в продуктах SmarterMail и GoAnywhere MFT, которые атаковали за неделю до официального раскрытия информации.
После успешной эксплуатации Storm-1175 действует по отработанному сценарию. На скомпрометированном устройстве злоумышленники закрепляются в системе, создавая новую учётную запись пользователя с правами администратора. Это становится плацдармом для разведки и горизонтального перемещения по сети. Для этих целей группа активно использует как встроенные системные средства (так называемые Living-Off-the-Land), вроде PowerShell и PsExec, так и легитимные инструменты удалённого мониторинга и управления (RMM). Среди них Atera RMM, AnyDesk, MeshAgent и другие. Эти программы, обычные в арсенале IT-администраторов, в руках злоумышленников превращаются в мощный инструмент для поддержания присутствия, создания скрытых каналов управления и доставки вредоносных нагрузок. Если в сети заблокирован протокол RDP, Storm-1175 просто изменяет правила брандмауэра, чтобы его разрешить.
Важным этапом является хищение учётных данных. Группа применяет как специализированные утилиты вроде Mimikatz, так и методы работы со встроенными возможностями Windows, например, модификацию реестра для включения кэширования учётных данных WDigest. Получив привилегии администратора домена, злоумышленники получают доступ к дампу базы данных Active Directory (NTDS.dit), что позволяет им в офлайн-режиме подбирать пароли всех пользователей сети. Также отмечены случаи извлечения паролей из программного обеспечения для резервного копирования Veeam, что открывало путь к системам, подключённым к этим решениям.
Перед финальной стадией атаки Storm-1175 целенаправленно отключает системы защиты. Они вносят изменения в реестр Windows, чтобы отключить или настроить исключения для антивирусного решения Microsoft Defender, что позволяет вредоносным нагрузкам беспрепятственно исполняться. Затем следует этап эксфильтрации данных. Для сбора и упаковки файлов используется архиватор Bandizip, а для их передачи на контролируемые злоумышленниками облачные ресурсы - инструмент Rclone. Эта практика, известная как "двойной шантаж", является стандартом для современных операторов программ-вымогателей: данные не только шифруются, но и похищаются, чтобы оказать дополнительное давление на жертву с угрозой публикации конфиденциальной информации.
Финальный удар наносится с помощью программы-вымогателя Medusa, распространяемой по сети через легитимное средство развёртывания ПО PDQ Deployer или с помощью групповых политик домена. Столь стремительная атака оставляет защитникам крайне мало времени на реакцию. Эксперты подчёркивают, что основная проблема заключается не в изощрённости отдельных техник, а в их скоростной и слаженной комбинации, эксплуатирующей фундаментальные пробелы в процессах управления уязвимостями и избыточные привилегии в корпоративных сетях. Противодействие таким группам, как Storm-1175, требует не только своевременного закрытия известных уязвимостей на периметре, но и строгого соблюдения принципа наименьших привилегий, мониторинга использования легитимных административных инструментов и внедрения механизмов защиты от несанкционированных изменений систем безопасности.
Индикаторы компрометации
IPv4
- 134.195.91.224
- 185.135.86.149
- 85.155.186.121
SHA256
- 0cefeb6210b7103fd32b996beff518c9b6e1691a97bb1cda7f5fb57905c4be96
- 5ba7de7d5115789b952d9b1c6cff440c9128f438de933ff9044a68fff8496d19
- 9632d7e4a87ec12fdd05ed3532f7564526016b78972b2cd49a610354d672523c
- e57ba1a4e323094ca9d747bfb3304bd12f3ea3be5e2ee785a3e656c3ab1e8086
