Команда Microsoft Threat Intelligence раскрыла подробности деятельности группировки Storm-1175 — финансово мотивированного кибрпреступного актора китайского происхождения. Группа специализируется на доставке шифровальщика Medusa и действует с пугающей скоростью: от первого проникновения в сеть до полного развёртывания вымогательского ПО проходит несколько дней, а в ряде инцидентов — менее 24 часов. Такой темп не оставляет жертвам времени на реагирование.
Основной удар приходится на здравоохранение, образование, финансовый сектор и профессиональные сервисные компании. География атак — Австралия, Великобритания и Соединённые Штаты. С конца 2024 года Storm-1175 начала активно целиться в Linux-системы, в частности в уязвимые экземпляры Oracle WebLogic, хотя конкретный CVE-идентификатор для этого вектора Microsoft пока не назвала.
Ключевое преимущество группировки — работа с уязвимостями нулевого дня. Storm-1175 эксплуатирует бреши ещё до того, как информация о них появляется в публичном доступе. Когда же уязвимость становится известной, группа быстро ротирует эксплойты, стараясь попасть в окно между раскрытием информации и установкой патчей. Это именно тот промежуток, когда организации наиболее беззащитны. Помимо этого, применяется цепочка эксплойтов (например, OWASSRF) для постэксплуатационных действий уже внутри скомпрометированной сети.
Инструментарий Storm-1175 заслуживает отдельного внимания. Для закрепления в системе создаются новые учётные записи и устанавливаются веб-шеллы. Горизонтальное перемещение по сети обеспечивается через PDQ Deployer и легитимное ПО для удалённого мониторинга (RMM). Группировка модифицирует политики Windows Firewall, чтобы открыть RDP-доступ и использовать его для доставки полезной нагрузки на другие устройства в сети. Для кражи учётных данных используются Impacket и Mimikatz — два хорошо знакомых специалистам по ИБ инструмента.
Отдельно стоит отметить методы уклонения от обнаружения. Storm-1175 настраивает исключения в Microsoft Defender Antivirus, чтобы антивирус попросту игнорировал файлы шифровальщика. Для сбора данных перед эксфильтрацией применяется архиватор Bandizip, а для вывода украденной информации — утилита Rclone.
Список эксплуатируемых уязвимостей с 2023 года превышает 16 позиций и охватывает самый разный софт. В него входят: Microsoft Exchange Server (CVE-2023-21529), Papercut (CVE-2023-27351 и CVE-2023-27350), Ivanti Connect Secure и Policy Secure (CVE-2023-46805 и CVE-2024-21887), ConnectWise ScreenConnect (CVE-2024-1708 и CVE-2024-1709), JetBrains TeamCity (CVE-2024-27198 и CVE-2024-27199), SimpleHelp (CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728), CrushFTP (CVE-2025-31161), Fortra GoAnywhere MFT (CVE-2025-10035), SmarterTools SmarterMail (CVE-2025-52691 и CVE-2026-23760), а также BeyondTrust (CVE-2026-1731). При этом CVE-2025-10035 для Fortra GoAnywhere MFT и CVE-2026-23760 для SmarterMail были использованы как нулевые дни — ещё до публичного раскрытия.
Пожалуй, самая тревожная тенденция, на которую указывают эти атаки, — превращение легитимных RMM-инструментов в «инфраструктуру двойного назначения». AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect, SimpleHelp — всё это программы, которым корпоративные сети доверяют по умолчанию. Трафик через них зашифрован, он считается нормальным. Storm-1175 и подобные ей группы подмешивают вредоносные коммуникации к этому доверенному трафику, и отличить одно от другого средствами стандартного мониторинга практически невозможно.
Скорость, с которой Storm-1175 проходит путь от начального доступа до шифрования данных, ставит под вопрос традиционные модели реагирования на инциденты. Когда у атакующих на руках свежие zero-day эксплойты, цепочки уязвимостей для постэксплуатации и набор средств для обхода защитных решений, а весь цикл атаки укладывается в сутки — пассивная безопасность на основе периодических обновлений перестаёт работать. Организациям из перечисленных секторов стоит, как минимум, пересмотреть политики доступа к RMM-инструментам и сократить время установки критических патчей до минимума.
Изображение носит иллюстративный характер
Основной удар приходится на здравоохранение, образование, финансовый сектор и профессиональные сервисные компании. География атак — Австралия, Великобритания и Соединённые Штаты. С конца 2024 года Storm-1175 начала активно целиться в Linux-системы, в частности в уязвимые экземпляры Oracle WebLogic, хотя конкретный CVE-идентификатор для этого вектора Microsoft пока не назвала.
Ключевое преимущество группировки — работа с уязвимостями нулевого дня. Storm-1175 эксплуатирует бреши ещё до того, как информация о них появляется в публичном доступе. Когда же уязвимость становится известной, группа быстро ротирует эксплойты, стараясь попасть в окно между раскрытием информации и установкой патчей. Это именно тот промежуток, когда организации наиболее беззащитны. Помимо этого, применяется цепочка эксплойтов (например, OWASSRF) для постэксплуатационных действий уже внутри скомпрометированной сети.
Инструментарий Storm-1175 заслуживает отдельного внимания. Для закрепления в системе создаются новые учётные записи и устанавливаются веб-шеллы. Горизонтальное перемещение по сети обеспечивается через PDQ Deployer и легитимное ПО для удалённого мониторинга (RMM). Группировка модифицирует политики Windows Firewall, чтобы открыть RDP-доступ и использовать его для доставки полезной нагрузки на другие устройства в сети. Для кражи учётных данных используются Impacket и Mimikatz — два хорошо знакомых специалистам по ИБ инструмента.
Отдельно стоит отметить методы уклонения от обнаружения. Storm-1175 настраивает исключения в Microsoft Defender Antivirus, чтобы антивирус попросту игнорировал файлы шифровальщика. Для сбора данных перед эксфильтрацией применяется архиватор Bandizip, а для вывода украденной информации — утилита Rclone.
Список эксплуатируемых уязвимостей с 2023 года превышает 16 позиций и охватывает самый разный софт. В него входят: Microsoft Exchange Server (CVE-2023-21529), Papercut (CVE-2023-27351 и CVE-2023-27350), Ivanti Connect Secure и Policy Secure (CVE-2023-46805 и CVE-2024-21887), ConnectWise ScreenConnect (CVE-2024-1708 и CVE-2024-1709), JetBrains TeamCity (CVE-2024-27198 и CVE-2024-27199), SimpleHelp (CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728), CrushFTP (CVE-2025-31161), Fortra GoAnywhere MFT (CVE-2025-10035), SmarterTools SmarterMail (CVE-2025-52691 и CVE-2026-23760), а также BeyondTrust (CVE-2026-1731). При этом CVE-2025-10035 для Fortra GoAnywhere MFT и CVE-2026-23760 для SmarterMail были использованы как нулевые дни — ещё до публичного раскрытия.
Пожалуй, самая тревожная тенденция, на которую указывают эти атаки, — превращение легитимных RMM-инструментов в «инфраструктуру двойного назначения». AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect, SimpleHelp — всё это программы, которым корпоративные сети доверяют по умолчанию. Трафик через них зашифрован, он считается нормальным. Storm-1175 и подобные ей группы подмешивают вредоносные коммуникации к этому доверенному трафику, и отличить одно от другого средствами стандартного мониторинга практически невозможно.
Скорость, с которой Storm-1175 проходит путь от начального доступа до шифрования данных, ставит под вопрос традиционные модели реагирования на инциденты. Когда у атакующих на руках свежие zero-day эксплойты, цепочки уязвимостей для постэксплуатации и набор средств для обхода защитных решений, а весь цикл атаки укладывается в сутки — пассивная безопасность на основе периодических обновлений перестаёт работать. Организациям из перечисленных секторов стоит, как минимум, пересмотреть политики доступа к RMM-инструментам и сократить время установки критических патчей до минимума.
