Storm-1175 koristi zero-day i N-day propuste za brzu isporuku Medusa ransomware-a
The Hacker News prenosi Microsoft-ovu analizu grupe Storm-1175, koju povezuju sa Kinom i kampanjama u kojima se kombinacijom zero-day i sveže objavljenih ranjivosti brzo probija u javno izložene sisteme. Meta su, između ostalog, zdravstvo, obrazovanje, profesionalne usluge i finansije u Australiji, Velikoj Britaniji i SAD, a od početnog pristupa do krađe podataka i puštanja Medusa ransomware-a ponekad prođe manje od 24 sata. U tekstu se navodi da grupa rotira exploit-e preko većeg broja proizvoda, koristi web shell-ove, RMM alate, LOLBin tehnike, credential dumping i izmene Defender i firewall podešavanja da bi ubrzala širenje i otežala detekciju.
Ovde je najvažniji tempo napada. Kada protivnik brzo menja ranjivosti i ulazi kroz spolja izložene servise pre nego što organizacije stignu da zakrpe ili pravilno izoluju sisteme, klasičan ritam održavanja više nije dovoljan. Poseban problem je i to što legitimni administrativni i RMM alati postaju maska iza koje se napad lakše kreće kroz mrežu.
- Dati prioritet zakrpama za internet-facing sisteme kao što su Exchange, VPN, MFT, RMM i administratorske platforme
- Pretražiti okruženje za neočekivane nove korisničke naloge, web shell-ove i promene Defender ili firewall pravila
- Pojačati nadzor nad korišćenjem PowerShell-a, PsExec-a, Impacket-a, PDQ Deployera, Rclone-a i sličnih alata
- Ograničiti i strogo kontrolisati RMM pristup, posebno na spolja dostupnim servisima i serverskim sistemima
- Pripremiti incident response tok za brzu izolaciju sistema jer se od početnog upada do ransomware faze može stići za jedan dan