Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Storm-1175 to nazwa nadana przez Microsoft grupie cyberprzestępczej działającej z motywacją finansową, która specjalizuje się w błyskawicznym przechodzeniu od uzyskania dostępu do środowiska ofiary do kradzieży danych i wdrożenia ransomware Medusa. Najnowsze obserwacje wskazują, że napastnicy wykorzystują zarówno luki typu N-day, czyli już ujawnione publicznie, ale nadal niezałatane, jak i wybrane podatności zero-day używane jeszcze przed ich oficjalnym disclosure.
Taki model działania znacząco skraca czas dostępny na reakcję. W praktyce organizacje narażone są na scenariusz, w którym kompromitacja systemu brzegowego bardzo szybko prowadzi do ruchu lateralnego, eksfiltracji danych i szyfrowania zasobów.
W skrócie
- Storm-1175 koncentruje się na podatnych systemach webowych dostępnych z internetu.
- Grupa potrafi przejść od włamania do wdrożenia Medusa ransomware w ciągu kilku dni, a czasem nawet w mniej niż 24 godziny.
- Microsoft łączy tego aktora z eksploatacją ponad 16 podatności od 2023 roku.
- W kampaniach obserwowano użycie legalnych narzędzi administracyjnych i RMM, co utrudnia wykrycie.
- Ataki obejmują zarówno środowiska Windows, jak i wybrane systemy linuksowe.
Kontekst / historia
Storm-1175 nie jest nowym aktorem, jednak najnowsze analizy pokazują wzrost jego dojrzałości operacyjnej. W poprzednich kampaniach grupa była wiązana z wykorzystywaniem luk w Microsoft Exchange, PaperCut, Ivanti Connect Secure i Policy Secure, a także w innych usługach wystawionych do internetu. W jednym z wcześniejszych przypadków wykorzystywano łańcuch podatności w lokalnych serwerach Exchange, gdzie jedna luka zapewniała dostęp początkowy, a kolejna umożliwiała zdalne wykonanie kodu.
Z czasem repertuar technik został rozszerzony o kolejne platformy i wektory wejścia. Microsoft zwraca uwagę, że operatorzy atakowali także systemy linuksowe, w tym podatne instancje Oracle WebLogic. Szczególnie istotna jest jednak obserwacja użycia co najmniej trzech zero-day, co może wskazywać na dostęp do bardziej zaawansowanych zdolności exploitacyjnych lub współpracę z dostawcami exploitów.
Analiza techniczna
Techniczny przebieg operacji Storm-1175 odpowiada nowoczesnemu modelowi ransomware intrusion. Napastnicy rozpoczynają od szybkiego uzyskania initial access przez podatne systemy brzegowe, następnie umacniają obecność, prowadzą rozpoznanie środowiska, pozyskują poświadczenia, przemieszczają się bocznie, wykradają dane, a na końcu uruchamiają ładunek szyfrujący Medusa.
Punktem wejścia są najczęściej aplikacje webowe i usługi dostępne publicznie. Grupa skutecznie wykorzystuje okno czasowe pomiędzy ujawnieniem podatności a wdrożeniem poprawek przez organizacje. W części incydentów atakujący mieli korzystać z zero-day jeszcze przed ich publicznym ujawnieniem. Po uzyskaniu dostępu tworzone są nowe konta użytkowników, wdrażane są web shelle lub instalowane narzędzia zdalnego zarządzania, które pozwalają utrzymać trwały dostęp.
W dalszej fazie operatorzy stosują podejście living-off-the-land. Zamiast opierać się wyłącznie na własnym malware, wykorzystują legalne i powszechnie obecne narzędzia administracyjne, takie jak PowerShell, PsExec czy komponenty pakietu Impacket. Do ruchu lateralnego i dystrybucji ładunków używane były także PDQ Deploy oraz rozwiązania RMM, w tym AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect i SimpleHelp.
Kolejnym etapem jest osłabianie mechanizmów obronnych i przejmowanie poświadczeń. W raportowanych incydentach pojawiały się techniki credential dumpingu z użyciem Mimikatz i Impacket, zmiany w zaporze systemu Windows w celu otwarcia RDP oraz dodawanie wyjątków w rozwiązaniach ochronnych, aby ułatwić uruchomienie ransomware. Do pakowania danych wykorzystywano między innymi Bandizip, a do eksfiltracji narzędzie Rclone.
Konsekwencje / ryzyko
Najpoważniejszym zagrożeniem jest bardzo krótki czas między kompromitacją a etapem destrukcyjnym. Jeśli organizacja bazuje głównie na wykrywaniu końcowych objawów ataku, takich jak szyfrowanie plików czy pojawienie się noty okupu, reakcja może nadejść zbyt późno. Dodatkowym utrudnieniem jest użycie legalnych narzędzi administracyjnych, których aktywność może przypominać rutynowe działania zespołów IT.
Skutki potencjalnego incydentu obejmują nie tylko przestój operacyjny, lecz także wyciek danych, koszty odtworzenia infrastruktury, konieczność obsługi zgłoszeń regulacyjnych i ryzyko reputacyjne. Szczególnie narażone pozostają sektory ochrony zdrowia, edukacji, usług profesjonalnych i finansów, które według obserwacji były częstym celem ostatnich kampanii.
Rekomendacje
Organizacje powinny priorytetowo traktować ochronę zasobów wystawionych do internetu. Niezbędne są ciągłe mapowanie powierzchni ataku, dokładna inwentaryzacja usług webowych i ograniczanie ekspozycji systemów, które nie muszą być publicznie dostępne. Równie ważne pozostaje rygorystyczne zarządzanie poprawkami dla aplikacji brzegowych, serwerów pocztowych, platform MFT, usług VPN i paneli administracyjnych.
W warstwie detekcyjnej warto monitorować zachowania charakterystyczne dla szybkiego post-exploitation. Dotyczy to zwłaszcza tworzenia nowych kont uprzywilejowanych, nietypowego użycia PowerShell, PsExec, WMI i Impacket, instalacji narzędzi RMM poza standardowym procesem zmian, modyfikacji reguł zapory oraz prób dodawania wykluczeń w systemach AV i EDR.
Kluczowe znaczenie mają także segmentacja sieci, zasada least privilege, separacja kont administracyjnych, obowiązkowe MFA dla dostępu zdalnego oraz zdolność szybkiej izolacji hostów wykazujących oznaki ruchu lateralnego. Dodatkowo warto wdrożyć monitoring narzędzi archiwizujących i eksfiltracyjnych, takich jak Rclone, oraz analizę nietypowych transferów danych do zewnętrznych lokalizacji.
Nie można pomijać odporności operacyjnej. Kopie zapasowe powinny być logicznie lub fizycznie odseparowane, regularnie testowane i zabezpieczone przed modyfikacją z poziomu skompromitowanej domeny. Zespoły SOC i IR powinny posiadać gotowe playbooki na scenariusz, w którym napastnik przechodzi od wejścia do pełnego wdrożenia ransomware w czasie krótszym niż jedna doba.
Podsumowanie
Storm-1175 pokazuje, że nowoczesne operacje ransomware mają coraz bardziej precyzyjny i wysokotempo charakter. Połączenie eksploatacji luk w systemach brzegowych, stosowania legalnych narzędzi administracyjnych oraz szybkiej eskalacji do wdrożenia Medusa ransomware tworzy wyjątkowo groźny profil zagrożenia. Dla obrońców oznacza to konieczność skracania czasu detekcji, poprawy widoczności aktywów internet-facing oraz monitorowania subtelnych oznak kompromitacji jeszcze przed etapem szyfrowania.
Źródła
- https://thehackernews.com/2026/04/china-linked-storm-1175-exploits-zero.html
- https://www.microsoft.com/en-us/security/blog/2026/04/06/storm-1175-focuses-gaze-on-vulnerable-web-facing-assets-in-high-tempo-medusa-ransomware-operations/
- https://www.microsoft.com/en-us/security/blog/2025/10/06/investigating-active-exploitation-of-cve-2025-10035-goanywhere-managed-file-transfer-vulnerability/