Группа анализа угроз Microsoft выявила и подробно описала деятельность сложного субъекта угроз, отслеживаемого под обозначением Storm-1175, который играет ключевую роль в высокотемповых операциях вымогательской группы Medusa. Основное внимание злоумышленника сосредоточено на систематическом выявлении и эксплуатации уязвимостей в публично доступных веб-приложениях и активах. Этот первоначальный доступ затем продается или предоставляется операторам вымогателя Medusa (также известного как MedusaLocker), что позволяет им проводить разрушительные атаки с шифрованием данных против организаций по всему миру. Группа является ярким примером современной экосистемы «вымогательство как услуга» (RaaS), где специализированные брокеры первоначального доступа (IAB), такие как Storm-1175, работают в тандеме с аффилированными лицами вымогателей для максимизации воздействия и эффективности.
Storm-1175 использует последовательный и методичный подход, активно нацеливаясь на неисправленные уязвимости в таких платформах, как Microsoft Exchange Server, SharePoint и Confluence. Актор использует общедоступный эксплойт-код (PoC), инструменты сканирования и веб-шеллы для создания устойчивого плацдарма в сетях жертв. После успешной эксплуатации группа проводит тщательную разведку, перемещаясь латерально для компрометации администраторов домена и развертывания дополнительных бэкдоров. Эта тщательная деятельность на этапе пост-эксплуатации гарантирует, что доступ остается ценным и стабильным перед передачей лицам, развертывающим полезную нагрузку вымогателя, которые затем выполняют финальную стадию кражи данных и шифрования файлов.
Операционная безопасность (OpSec) Storm-1175 демонстрирует высокий уровень изощренности. Актор часто использует встроенные двоичные файлы системы (LOLBins) и скриптовые бэкдоры, чтобы избежать традиционного обнаружения на основе сигнатур. Кроме того, они применяют геофильтрацию в своей инфраструктуре командования и управления (C2), блокируя доступ из определенных стран, включая Россию и другие государства Содружества Независимых Государств (СНГ), — распространенная тактика среди киберпреступных групп, позволяющая избежать внимания местных правоохранительных органов. Такое осторожное ремесло делает обнаружение и атрибуцию более сложными для защитников.
Для специалистов по кибербезопасности кампания Storm-1175 подчеркивает несколько критически важных оборонительных приоритетов. Немедленное и всестороннее исправление уязвимостей в системах, обращенных к интернету, особенно для широко известных уязвимостей, не подлежит обсуждению. Организации должны усилить мониторинг аномальной активности на веб-серверах, включая неожиданное создание процессов и сетевые подключения. Внедрение белых списков приложений, надежная сегментация сети и многофакторная аутентификация (MFA) могут существенно затруднить латеральное перемещение. Раскрытие информации Microsoft предоставляет crucial тактические индикаторы компрометации (IoC), которые команды безопасности должны интегрировать в свои процессы поиска угроз и обнаружения, чтобы выявить и устранить эту постоянную угрозу.
