08.04.2026
1 хв
181
Китайське хакерське угруповання Storm-1175 різко активізувалося і почало використовувати як zero-day, так і відомі вразливості, щоб максимально швидко проникати в системи та розгортати шифрувальник Medusa. Атаки відбуваються настільки швидко, що інколи від доступу до повного зараження проходить менше доби.
Китайське угруповання Storm-1175, яке стоїть за атаками з використанням Medusa ransomware, зараз діє максимально швидко і, якщо чесно, дуже впевнено. Вони комбінують zero-day і вже відомі вразливості, щоб заходити в системи прямо з інтернету без довгих підготовок. Як пояснюють у Microsoft Threat Intelligence, вся їхня стратегія тримається на темпі: швидко знайшли відкритий сервіс, швидко зайшли, швидко закріпились. І це вже дало результат, адже під удар потрапили організації з медицини, освіти, фінансів і сервісного сектору у США, Великій Британії та Австралії – заявила команда Microsoft Threat Intelligence. Найнеприємніше те, що після доступу вони не розтягують процес на тижні. У деяких випадках від першого входу до запуску шифрувальника проходить менше доби.
Працюють вони досить “по-дорослому”. Якщо коротко, то спочатку заходять через вразливість, інколи навіть ще не опубліковану, потім можуть комбінувати кілька експлойтів одразу, щоб закріпитися і рухатися далі мережею. Далі вже класика, але виконана дуже швидко: створюють нові облікові записи, підключають віддалений доступ через легітимні інструменти, забирають паролі і поступово вимикають або обходять захист. І вже після цього розгортають Medusa та вивантажують дані.
З 2023 року Storm-1175 пов’язують із використанням великої кількості вразливостей у популярних продуктах. Серед них:
Microsoft Exchange (CVE-2023-21529)
PaperCut (CVE-2023-27351, CVE-2023-27350)
Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
ConnectWise ScreenConnect (CVE-2024-1708, CVE-2024-1709)
JetBrains TeamCity (CVE-2024-27198, CVE-2024-27199)
SimpleHelp (CVE-2024-57726, CVE-2024-57727, CVE-2024-57728)
CrushFTP (CVE-2025-31161)
Fortra GoAnywhere (CVE-2025-10035)
SmarterMail (CVE-2025-52691, CVE-2026-23760)
BeyondTrust (CVE-2026-1731)
І тут важлива деталь: деякі з цих вразливостей, наприклад CVE-2025-10035 і CVE-2026-23760, вони використовували ще до того, як про них офіційно стало відомо. Тобто це були реальні zero-day атаки.
Окремо варто сказати про їхню гнучкість. У Microsoft прямо зазначають, що Storm-1175 дуже швидко підхоплює нові експлойти і використовує той короткий момент, коли патч уже є, але ще не встановлений. І саме в цей період більшість компаній залишаються беззахисними.
Ще один нюанс, який ускладнює захист. Вони активно використовують звичайні інструменти адміністрування, ті ж AnyDesk, Atera або ConnectWise. З боку це виглядає як нормальна робота системи, а не атака. І через це виявити їх значно складніше, ніж здається.
