في تقرير حديث صادر عن فريق Microsoft Threat Intelligence، تم الكشف عن أن مجموعة تهديد صينية تُعرف باسم Storm-1175 تقف وراء سلسلة من الهجمات عالية السرعة، مستغلة مزيجًا من ثغرات يوم الصفر (Zero-Day) والثغرات المعلنة حديثًا (N-Day) لاختراق الأنظمة المكشوفة على الإنترنت. هذه الهجمات أدت إلى انتشار واسع لبرمجية الفدية Medusa، مستهدفة قطاعات حيوية مثل الرعاية الصحية والتعليم والخدمات المالية في كل من أستراليا والمملكة المتحدة والولايات المتحدة.
طبيعة الهجمات وأساليب الاختراق
تتميز هذه المجموعة بقدرتها على رصد الأصول المكشوفة بسرعة فائقة، حيث تقوم باستغلال الثغرات فور الإعلان عنها أو حتى قبل ذلك في بعض الحالات. وقد لوحظ أن بعض الهجمات تضمنت ربط عدة ثغرات معًا مثل OWASSRF لتنفيذ أنشطة ما بعد الاختراق. بمجرد الحصول على موطئ قدم داخل الشبكة، تتحرك المجموعة بسرعة نحو سرقة البيانات ونشر برمجية Medusa خلال أيام قليلة، وأحيانًا في أقل من 24 ساعة.
قائمة الثغرات المستغلة
منذ عام 2023، ارتبطت المجموعة باستغلال أكثر من 16 ثغرة أمنية، من أبرزها:
- CVE-2023-21529 في Microsoft Exchange Server
- CVE-2023-27351 وCVE-2023-27350 في Papercut
- CVE-2023-46805 وCVE-2024-21887 في Ivanti Connect Secure
- CVE-2024-1708 وCVE-2024-1709 في ConnectWise ScreenConnect
- CVE-2024-27198 وCVE-2024-27199 في JetBrains TeamCity
- CVE-2024-57726 وCVE-2024-57727 وCVE-2024-57728 في SimpleHelp
- CVE-2025-31161 في CrushFTP
- CVE-2025-10035 في Fortra GoAnywhere MFT (استُغلت كـ Zero-Day)
- CVE-2025-52691 وCVE-2026-23760 في SmarterMail (الأخيرة استُغلت كـ Zero-Day)
- CVE-2026-1731 في BeyondTrust
هذا التنوع في الثغرات يعكس مرونة المجموعة وقدرتها على التكيف مع بيئات مختلفة، بما في ذلك أنظمة Linux، حيث استهدفت خوادم Oracle WebLogic في هجمات واسعة النطاق.
التكتيكات والأدوات المستخدمة
تعتمد Storm-1175 على مجموعة من الأدوات والتقنيات المتقدمة، منها:
- استخدام أدوات النظام المدمجة (LOLBins) مثل PowerShell وPsExec، إلى جانب مكتبة Impacket للحركة الجانبية.
- نشر برمجية الفدية عبر أداة PDQ Deployer لتوزيع الحمولة الخبيثة على الشبكة.
- تعديل سياسات جدار الحماية في Windows لتمكين بروتوكول RDP ونشر البرمجيات الضارة.
- سرقة بيانات الاعتماد باستخدام أدوات مثل Mimikatz.
- تعطيل أو تعديل إعدادات Microsoft Defender Antivirus لتجنب اكتشاف البرمجيات الخبيثة.
- استخدام أدوات مثل Bandizip لجمع البيانات وRclone لتهريبها خارج الشبكة.
دلالات أمنية خطيرة
تكشف هذه الهجمات عن اتجاه متزايد نحو استخدام أدوات الإدارة عن بُعد (RMM) مثل AnyDesk وAtera وMeshAgent وConnectWise ScreenConnect وSimpleHelp كوسائل مزدوجة الاستخدام. هذه الأدوات، التي تُعتبر شرعية في بيئات العمل، أصبحت تُستغل كقنوات خفية لتمرير الأنشطة الضارة، مما يجعل اكتشافها أكثر صعوبة ويزيد من خطورة الهجمات.
