Security

Storm-1175 Medusa ransomware cilja web sisteme

3 min čitanja

Sažetak

Microsoft Threat Intelligence upozorava da Storm-1175 brzo iskorišćava ranjive internetom izložene sisteme za isporuku Medusa ransomware, ponekad u roku od 24 sata od početnog pristupa. Fokus grupe na novoobjavljene propuste, web shell alate, RMM alate i brzo lateralno kretanje čini brzinu zakrpa, upravljanje izloženošću i detekciju nakon kompromitacije ključnim za odbranu.

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Storm-1175 i Medusa ransomware: Zašto je ovo važno

Microsoft Threat Intelligence je objavio novo istraživanje o Storm-1175, finansijski motivisanom akteru pretnji koji vodi brze kampanje Medusa ransomware. Ključna briga za timove odbrane je brzina: grupa cilja izložene web sisteme i može da pređe od eksploatacije do isporuke ransomware-a za samo 24 sata.

Za IT i bezbednosne timove, ovo je još jedan podsetnik da internetom izloženi resursi, odloženo zakrpljivanje i slaba vidljivost kroz perimetarske sisteme stvaraju veoma uzak vremenski prozor za odgovor.

Šta je novo

Microsoft navodi da je Storm-1175 od 2023. iskoristio više od 16 ranjivosti, fokusirajući se na jaz između javnog objavljivanja i primene zakrpa. Ciljane tehnologije uključuju:

  • Microsoft Exchange
  • Ivanti Connect Secure and Policy Secure
  • ConnectWise ScreenConnect
  • JetBrains TeamCity
  • Papercut
  • SimpleHelp
  • CrushFTP
  • GoAnywhere MFT
  • SmarterMail
  • BeyondTrust

Microsoft je takođe primetio da akter koristi i neke zero-day eksploatacije, uključujući slučajeve u kojima se eksploatacija dogodila nedelju dana pre javnog objavljivanja.

Kako funkcioniše lanac napada

Nakon sticanja pristupa preko ranjivog web sistema, Storm-1175 obično:

  • Uspostavlja postojanost pomoću web shell alata ili payload-a za udaljeni pristup
  • Kreira nove lokalne naloge i dodaje ih u administratorske grupe
  • Koristi LOLBins kao što su PowerShell i PsExec
  • Kreće se lateralno pomoću RDP, ponekad ga omogućavajući kroz izmene firewall pravila
  • Oslanja se na RMM alate kao što su Atera, AnyDesk, ScreenConnect, MeshAgent i SimpleHelp
  • Koristi alate kao što su PDQ Deployer i Impacket za isporuku payload-a i lateralno kretanje
  • Krade akreditive, manipuliše bezbednosnim kontrolama, eksfiltrira podatke i isporučuje Medusa ransomware

Ova kombinacija legitimnih administratorskih alata i brzog izvršavanja otežava razlikovanje aktivnosti od uobičajenih IT operacija.

Uticaj na IT administratore

Organizacije u sektorima zdravstva, obrazovanja, profesionalnih usluga i finansija bile su značajno pogođene, posebno u SAD, UK i Australiji. Za administratore, najveći rizici su:

  • Nezakrpljene ili novoobjavljene ranjivosti na internetom izloženim sistemima
  • Slaba vidljivost nad izloženim perimetarskim resursima
  • Previše permisivne RDP i firewall postavke
  • Nenadgledana upotreba RMM alata u produkcionim okruženjima

Izveštaj takođe naglašava važnost detekcije ponašanja nakon kompromitacije, a ne samo blokiranja početne eksploatacije.

Preporučeni naredni koraci

Bezbednosni i IT timovi treba da daju prioritet sledećem:

  • Brzo primenite zakrpe na izložene sisteme, posebno na web aplikacije
  • Evidentirajte i kontinuirano nadgledajte sve resurse u okviru external attack surface
  • Pregledajte i ograničite upotrebu RMM alata na odobrene platforme i naloge
  • Proverite postojanje neautorizovanih novih administratorskih naloga i izmena firewall pravila
  • Nadgledajte sumnjivu upotrebu PowerShell, PsExec, PDQ Deploy i Impacket alata
  • Obezbedite da su Defender i povezana pravila detekcije omogućeni i pravilno podešeni
  • Potvrdite planove za oporavak od ransomware-a, uključujući offline backup kopije i tokove incident response procesa

Microsoft smernice potvrđuju praktičnu realnost: ako napadači mogu da pretvore propust u oružje za nekoliko dana ili čak sati, bezbednosnim timovima su potrebni i brže zakrpljivanje i jača detekcija lateralnog kretanja unutar mreže.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Threat Intelligence
Storm-1175Medusa ransomwarevulnerability managementweb-facing assetsMicrosoft Threat Intelligence

Povezani članci

Security

AI device code phishing: kampanja eskalira

Microsoft Defender Security Research opisao je phishing kampanju velikih razmera koja zloupotrebljava OAuth device code flow uz mamce generisane pomoću AI, dinamičko generisanje kodova i automatizovanu backend infrastrukturu. Kampanja povećava rizik za organizacije jer poboljšava uspešnost napadača, zaobilazi tradicionalne obrasce detekcije i omogućava krađu tokena, trajnost kroz inbox pravila i izviđanje putem Microsoft Graph-a.

Security

AI sajber napadi ubrzavaju pretnje kroz ceo lanac

Microsoft upozorava da akteri pretnji sada ugrađuju AI u ceo životni ciklus sajber napada, od izviđanja i phishing-a do razvoja malware-a i aktivnosti nakon kompromitovanja. Za branioce to znači brže i preciznije napade, veće stope uspeha phishing-a i sve veću potrebu za jačanjem zaštite identiteta, MFA-a i vidljivosti nad AI vođenim površinama napada.

Security

PHP webshells na Linuxu: izbegavanje uz cookies

Microsoft upozorava da akteri pretnji koriste HTTP cookies za upravljanje PHP webshells u Linux hosting okruženjima, što pomaže zlonamernom kodu da ostane neaktivan osim kada su prisutne određene vrednosti cookies. Ova tehnika smanjuje vidljivost u rutinskim logovima, podržava postojanost kroz cron jobs i naglašava potrebu za jačim monitoringom, web zaštitom i endpoint detection na hostovanim Linux radnim opterećenjima.

Security

Axios npm kompromitacija lanca snabdevanja

Microsoft je upozorio da su zlonamerne Axios npm verzije 1.14.1 i 0.30.4 korišćene u napadu na lanac snabdevanja koji se pripisuje grupi Sapphire Sleet. Organizacije koje koriste pogođene pakete treba odmah da rotiraju tajne podatke, vrate se na bezbedne verzije i provere developerske endpoint-e i CI/CD sisteme zbog moguće kompromitacije.

Security

Spremnost bezbednosti kritične infrastrukture 2026

Microsoft navodi da se model pretnji za kritičnu infrastrukturu pomerio sa oportunističkih napada ka upornom pristupu zasnovanom na identitetu, osmišljenom za buduće ometanje. Za IT i bezbednosne lidere poruka je jasna: smanjite izloženost, ojačajte identitet i odmah proverite operativnu spremnost dok se propisi i aktivnosti nacionalnih država pojačavaju.

Security

Osnove AI bezbednosti: praktične smernice za CISO

Microsoft savetuje CISO-ima da zaštite AI sisteme primenom istih osnovnih kontrola koje već koriste za softver, identitete i pristup podacima. Smernice ističu princip najmanjih privilegija, odbranu od prompt injection napada i korišćenje samog AI-ja za otkrivanje problema sa dozvolama pre nego što to učine napadači ili korisnici.