🌟 Atualização imperdível para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaças baseado na China, conhecido por implantar o ransomware Medusa, foi associado à transformação de uma combinação de vulnerabilidades de dia zero e de dia N em armas para orquestrar ataques de "alta velocidade" e invadir sistemas suscetíveis voltados para a Internet.
"O alto ritmo operacional e a proficiência do ator da ameaça na identificação de ativos de perímetro expostos provaram ser bem-sucedidos, com intrusões recentes impactando fortemente as organizações de saúde, bem como as dos setores de educação, serviços profissionais e finanças na Austrália, no Reino Unido e nos Estados Unidos", disse a equipe do Microsoft Threat Intelligence.
Os ataques montados pelo Storm-1175 também aproveitaram explorações de dia zero, em alguns casos, antes de serem divulgadas publicamente, bem como vulnerabilidades recentemente divulgadas para obter acesso inicial. Incidentes selecionados envolveram o agente da ameaça encadeando várias explorações (por exemplo, OWASSRF) para atividades pós-comprometimento.
Ao ganhar uma posição segura, o cibercriminoso com motivação financeira move-se rapidamente para exfiltrar dados e implantar o ransomware Medusa dentro de alguns dias ou, em incidentes selecionados, dentro de 24 horas.
Para ajudar nesses esforços, o grupo cria persistência criando novas contas de usuário, implantando web shells ou software legítimo de monitoramento e gerenciamento remoto (RMM) para movimentação lateral, conduzindo roubo de credenciais e interferindo no funcionamento normal das soluções de segurança, antes de descartar o ransomware.
Desde 2023, o Storm-1175 está vinculado à exploração de mais de 16 vulnerabilidades -
CVE-2023-21529 (servidor Microsoft Exchange)
CVE-2023-27351 e CVE-2023-27350 (corte de papel)
CVE-2023-46805 e CVE-2024-21887 (Ivanti Connect Secure e Policy Secure)
CVE-2024-1708 e CVE-2024-1709 (ConnectWise ScreenConnect)
CVE-2024-27198 e CVE-2024-27199 (JetBrains TeamCity)
CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728 (SimpleHelp)
CVE‑2025‑31161 (CrushFTP)
CVE-2025-10035 (Fortra GoAnywhere MFT)
CVE-2025-52691 e CVE-2026-23760 (SmarterTools SmarterMail)
CVE-2026-1731 (Além da Confiança)
Diz-se que CVE-2025-10035 e CVE-2026-23760 foram explorados como dia zero antes de serem divulgados publicamente. No final de 2024, a equipe de hackers exibiu um talento para atacar sistemas Linux, incluindo a exploração de instâncias vulneráveis do Oracle WebLogic em diversas organizações. No entanto, a vulnerabilidade exata que foi usada nesses ataques permanece desconhecida.
"O Storm-1175 alterna as explorações rapidamente durante o período entre a divulgação e a disponibilidade ou adoção do patch, aproveitando o período em que muitas organizações permanecem desprotegidas", disse a Microsoft.
Algumas das táticas notáveis observadas nesses ataques são as seguintes -
Usando binários Living-off-the-land (LOLBins), incluindo PowerShell e PsExec, junto com Impacket para movimento lateral.
Contar com o PDQ Deployer para movimentação lateral e entrega de carga útil, incluindo ransomware Medusa, em toda a rede.
Modificar as políticas do Firewall do Windows para habilitar o Remote Desktop Protocol (RDP) e entregar cargas maliciosas a outros dispositivos.
Realizando dumping de credenciais usando Impacket e Mimikatz.
Configurando exclusões do Microsoft Defender Antivirus para evitar que ele bloqueie cargas de ransomware.
Aproveitando Bandizip e Rclone para coleta e exfiltração de dados, respectivamente.
A maior implicação aqui é que ferramentas RMM como AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect ou SimpleHelp estão se tornando uma infraestrutura de uso duplo para operações secretas, pois permitem que os agentes de ameaças misturem tráfego malicioso em plataformas criptografadas e confiáveis e reduzam a probabilidade de detecção.
"O alto ritmo operacional e a proficiência do ator da ameaça na identificação de ativos de perímetro expostos provaram ser bem-sucedidos, com intrusões recentes impactando fortemente as organizações de saúde, bem como as dos setores de educação, serviços profissionais e finanças na Austrália, no Reino Unido e nos Estados Unidos", disse a equipe do Microsoft Threat Intelligence.
Os ataques montados pelo Storm-1175 também aproveitaram explorações de dia zero, em alguns casos, antes de serem divulgadas publicamente, bem como vulnerabilidades recentemente divulgadas para obter acesso inicial. Incidentes selecionados envolveram o agente da ameaça encadeando várias explorações (por exemplo, OWASSRF) para atividades pós-comprometimento.
Ao ganhar uma posição segura, o cibercriminoso com motivação financeira move-se rapidamente para exfiltrar dados e implantar o ransomware Medusa dentro de alguns dias ou, em incidentes selecionados, dentro de 24 horas.
Para ajudar nesses esforços, o grupo cria persistência criando novas contas de usuário, implantando web shells ou software legítimo de monitoramento e gerenciamento remoto (RMM) para movimentação lateral, conduzindo roubo de credenciais e interferindo no funcionamento normal das soluções de segurança, antes de descartar o ransomware.
Desde 2023, o Storm-1175 está vinculado à exploração de mais de 16 vulnerabilidades -
CVE-2023-21529 (servidor Microsoft Exchange)
CVE-2023-27351 e CVE-2023-27350 (corte de papel)
CVE-2023-46805 e CVE-2024-21887 (Ivanti Connect Secure e Policy Secure)
CVE-2024-1708 e CVE-2024-1709 (ConnectWise ScreenConnect)
CVE-2024-27198 e CVE-2024-27199 (JetBrains TeamCity)
CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728 (SimpleHelp)
CVE‑2025‑31161 (CrushFTP)
CVE-2025-10035 (Fortra GoAnywhere MFT)
CVE-2025-52691 e CVE-2026-23760 (SmarterTools SmarterMail)
CVE-2026-1731 (Além da Confiança)
Diz-se que CVE-2025-10035 e CVE-2026-23760 foram explorados como dia zero antes de serem divulgados publicamente. No final de 2024, a equipe de hackers exibiu um talento para atacar sistemas Linux, incluindo a exploração de instâncias vulneráveis do Oracle WebLogic em diversas organizações. No entanto, a vulnerabilidade exata que foi usada nesses ataques permanece desconhecida.
"O Storm-1175 alterna as explorações rapidamente durante o período entre a divulgação e a disponibilidade ou adoção do patch, aproveitando o período em que muitas organizações permanecem desprotegidas", disse a Microsoft.
Algumas das táticas notáveis observadas nesses ataques são as seguintes -
Usando binários Living-off-the-land (LOLBins), incluindo PowerShell e PsExec, junto com Impacket para movimento lateral.
Contar com o PDQ Deployer para movimentação lateral e entrega de carga útil, incluindo ransomware Medusa, em toda a rede.
Modificar as políticas do Firewall do Windows para habilitar o Remote Desktop Protocol (RDP) e entregar cargas maliciosas a outros dispositivos.
Realizando dumping de credenciais usando Impacket e Mimikatz.
Configurando exclusões do Microsoft Defender Antivirus para evitar que ele bloqueie cargas de ransomware.
Aproveitando Bandizip e Rclone para coleta e exfiltração de dados, respectivamente.
A maior implicação aqui é que ferramentas RMM como AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect ou SimpleHelp estão se tornando uma infraestrutura de uso duplo para operações secretas, pois permitem que os agentes de ameaças misturem tráfego malicioso em plataformas criptografadas e confiáveis e reduzam a probabilidade de detecção.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #storm1175, #ligado #à #china, #explora #zero #dias #para #implantar #rapidamente #o #medusa #ransomware
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário