Атака в рамките на часове. Storm-1175 използва zero-day уязвимости за бързо внедряване на ransomware
Китайско-асоцииран threat actor, известен като Storm-1175, използва комбинация от zero-day и наскоро разкрити уязвимости, за да получи бърз достъп до интернет-достъпни системи и да внедри Medusa ransomware.
Според Microsoft Threat Intelligence, в някои случаи атаките преминават от първоначален достъп до ransomware в рамките на 24 часа.
Какво се случва
Storm-1175 таргетира exposed системи чрез:
- zero-day уязвимости
- новоразкрити уязвимости преди patch-ване
- комбиниране на exploit-и
Засегнати са организации в:
- здравеопазване
- образование
- финанси
- професионални услуги
Как протича атаката
След първоначалния достъп, атакуващите:
- създават persistence чрез акаунти и web shells
- използват легитимни инструменти за движение в мрежата
- извличат credentials
- отслабват защитите
- изнасят данни
- внедряват ransomware
В някои случаи това се случва в рамките на часове.
Използвани уязвимости
Storm-1175 е свързан с експлоатация на множество системи, включително:
- Microsoft Exchange
- Ivanti
- ConnectWise
- TeamCity
- GoAnywhere
- SmarterMail
- BeyondTrust
Някои от тях са използвани като zero-day.
Наблюдавани техники
- PowerShell, PsExec (LOLBins)
- Impacket
- Mimikatz
- PDQ Deployer
- Rclone (exfiltration)
- Bandizip (архивиране)
- RMM инструменти като AnyDesk
Защо това е важно
Проблемът не е само в уязвимостите.
Проблемът е във времето.
1. Атаките започват веднага след disclosure
2. Скоростта определя щетите
3. Активността изглежда легитимна
DIAMATIX Perspective
Този модел се повтаря.
Атакуващите работят в периода между разкриване и patch-ване.
Този период съществува навсякъде.
Рискът не е дали има уязвимост.
Рискът е колко бързо се реагира.
Практически това означава:
- постоянна видимост върху exposed системи
- синхронизация между asset и vulnerability управление
- откриване на нетипична употреба на административни инструменти
- реакция в рамките на часове
Ransomware е резултат.
Не началото.
Заключение
Storm-1175 показва, че скоростта е ключов фактор в съвременните атаки.
Контролът върху времето за реакция определя дали инцидентът ще бъде ограничен или ще ескалира.
Източници
Microsoft Threat Intelligence. Storm-1175 activity analysis
Получавайте актуални новини и експертни анализи за киберсигурност
