Microsoft заявляет, что Storm-1175, китайская киберпреступная группа, мотивированная финансовыми соображениями и известная развертыванием полезных нагрузок шифровальщика Medusa, использует уязвимости n-day и zero-day в высокоскоростных атаках.
Эта банда киберпреступников быстро переключается на новые уязвимости безопасности для получения доступа к сетям своих жертв, используя некоторые из них в качестве оружия в течение суток, а в ряде случаев эксплуатируя их за неделю до выпуска исправлений.
“Storm-1175 стремительно переходит от первоначального доступа к эксфильтрации данных и развертыванию шифровальщика Medusa, часто в течение нескольких дней, а в некоторых случаях — в течение 24 часов”, — сообщила Microsoft.
“Высокий оперативный темп злоумышленника и его мастерство в выявлении скомпрометированных периметральных активов оказались успешными: недавние вторжения серьезно затронули организации в сфере здравоохранения, а также в секторах образования, профессиональных услуг и финансов в Австралии, Великобритании и Соединенных Штатах”.
Microsoft также зафиксировала, что операторы Storm-1175 объединяют несколько эксплойтов для обеспечения постоянного присутствия в скомпрометированных системах путем создания новых учетных записей пользователей, развертывания программного обеспечения для удаленного мониторинга и управления, кражи учетных данных и отключения программного обеспечения безопасности перед внедрением полезных нагрузок шифровальщика.
В октябре Microsoft сообщала, что Storm-1175 эксплуатировала критическую уязвимость в GoAnywhere MFT максимальной степени серьезности (CVE-2025-10035) в атаках шифровальщика Medusa более недели до выпуска исправления.
Другой уязвимостью, которую Storm-1175 использовала как zero-day, была CVE-2026-23760 — уязвимость обхода аутентификации в почтовом сервере и инструменте совместной работы SmarterMail от SmarterTools.
“Хотя эти недавние атаки демонстрируют развитые возможности разработки или новый доступ к ресурсам, таким как брокеры эксплойтов, для Storm-1175, стоит отметить, что GoAnywhere MFT ранее уже становился целью атак программ-вымогателей, а уязвимость SmarterMail была схожа с ранее раскрытым недостатком”, — добавила Microsoft.
“Эти факторы могли способствовать последующей деятельности Storm-1175 по эксплуатации уязвимостей zero-day, хотя эта группа по-прежнему в основном использует уязвимости n-day”.
В недавних кампаниях Storm-1175 эксплуатировала более 16 уязвимостей в 10 программных продуктах, включая Microsoft Exchange (CVE-2023-21529), Papercut (CVE-2023-27351 и CVE-2023-27350), Ivanti Connect Secure и Policy Secure (CVE-2023-46805 и CVE-2024-21887) и ConnectWise ScreenConnect (CVE-2024-1709 и CVE-2024-1708).
Microsoft также видела, как они эксплуатируют уязвимости в JetBrains TeamCity (CVE-2024-27198 и CVE-2024-27199), SimpleHelp (CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728), CrushFTP (CVE‑2025‑31161), SmarterMail (CVE-2025-52691) и BeyondTrust (CVE-2026-1731).
CISA в марте 2025 года выпустила совместное предупреждение с ФБР и Многоштатным центром обмена информацией и анализа (MS-ISAC), в котором говорилось, что атаки банды Medusa затронули более 300 организаций критической инфраструктуры в Соединенных Штатах.
В июле 2024 года Microsoft также связала группу угроз Storm-1175 с атаками шифровальщиков Black Basta и Akira, которые использовали уязвимость обхода аутентификации VMware ESXi, наряду с тремя другими бандами киберпреступников.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
