كشف فريق الاستخبارات الخاص بالتهديدات في شركة مايكروسوفت عن أنشطة جهة تهديد متطورة، تُتعقب تحت الاسم الرمزي Storm-1175، والتي تلعب دوراً حاسماً في العمليات سريعة الوتيرة لمجموعة برنامج الفدية Medusa. يتمحور تركيز هذه الجهة بشكل أساسي حول تحديد واستغلال الثغرات الأمنية بشكل منهجي في التطبيقات والأصول الواجهة للإنترنت. يتم بعد ذلك بيع أو توفير هذا النفاذ الأولي لمشغلي برنامج الفدية Medusa (المعروف أيضاً باسم MedusaLocker)، مما يمكنهم من تنفيذ هجمات تشفير مدمرة ضد المؤسسات على مستوى العالم. تمثل هذه المجموعة نموذجاً لنظام برنامج الفدية كخدمة (RaaS) الحديث، حيث تعمل وسطاء النفاذ الأولي المتخصصون مثل Storm-1175 جنباً إلى جنب مع الشركاء التابعين لمجموعات الفدية لتعظيم التأثير والكفاءة.
يتبع Storm-1175 نهجاً ثابتاً ومنهجياً، يستهدف بشكل مكثف الثغرات التي لم يتم تصحيحها في منصات مثل خادم Microsoft Exchange وSharePoint وConfluence. تستخدم الجهة أكواد استغلال متاحة للعامة، وأدوات مسح، وأصداف ويب (Web Shells) لإنشاء موطئ قدم دائم داخل شبكات الضحايا. بعد الاستغلال الناجح، تقوم المجموعة بإجراء استطلاع شامل، والانتقال جانبياً لاختراق حسابات مسؤولي النطاق ونشر أبواب خلفية إضافية. تضمن أنشطة ما بعد الاختراق هذه بقاء النفاذ قيماً ومستقراً قبل تسليمه لناشري حمولة برنامج الفدية، الذين ينفذون بعد ذلك المرحلة النهائية من سرقة البيانات وتشفير الملفات.
تُظهر إجراءات الأمن التشغيلي (OpSec) لـ Storm-1175 مستوى عالٍ من التطور. تستخدم الجهة بشكل متكرر الملفات الثنائية الأصلية في النظام (LOLBins) والأبواب الخلفية القائمة على النصوص لتجنب الكشف القائم على التوقيعات التقليدية. علاوة على ذلك، تستخدم تصفية جغرافية على بنيتها التحتية للتحكم والأمر (C2)، حيث تحظر الوصول من دول معينة—بما في ذلك روسيا ودول أخرى في رابطة الدول المستقلة (CIS)—وهي تكتيك شائع بين مجموعات الجرائم الإلكترونية لتجنب جذب انتباه سلطات إنفاذ القانون المحلية. تجعل هذه الحرفية الدقيقة عملية الكشف ونسبة الهجوم أكثر صعوبة على المدافعين.
لمحترفي الأمن السيبراني، تؤكد حملة Storm-1175 على عدة أولويات دفاعية حرجة. يعد تصحيح الثغرات في الأنظمة المواجهة للإنترنت بشكل فوري وشامل، خاصة للثغرات المعروفة على نطاق واسع، أمراً غير قابل للتفاوض. يجب على المؤسسات تعزيز المراقبة للأنشطة غير الطبيعية على خوادم الويب، بما في ذلك إنشاء العمليات غير المتوقعة والاتصالات الشبكية. يمكن أن تعيق عملية تنفيذ قوائم السماح للتطبيقات، والتجزئة القوية للشبكة، والمصادقة متعددة العوامل (MFA) حركة المهاجمين الجانبية بشكل كبير. يوفر إفصاح مايكروسوفت مؤشرات تهديد تكتيكية حاسمة (IoCs) يجب على فرق الأمن دمجها في سير عمل الصيد عن التهديدات والكشف عنها لتحديد وطرد هذا التهديد المستمر.
