- ينتقل Storm-1175 بسرعة من الوصول إلى نشر برامج الفدية
- يستغل الأيام الصفرية والأيام n عبر منتجات متعددة
- يستهدف الرعاية الصحية والمالية والتعليم والخدمات المهنية
حذر الخبراء من أن مجموعة القرصنة الناطقة باللغة الصينية Storm-1175 تتحرك بسرعة، حيث تنتقل من الوصول الأولي إلى تسوية النظام بالكامل وتسرب البيانات في أسابيع، وأحيانًا في أقل من 24 ساعة.
يزعم تقرير جديد من Microsoft أن المجموعة شوهدت وهي تستفيد من عيوب متعددة، سواء يوم الصفر أو يوم n، في أنشطتها. وفي بعض الحالات، يقومون بربط العيوب المختلفة معًا للحصول على نتائج أفضل.
وفقًا للتقرير، فإن Storm-1175 ليست جهة فاعلة ترعاها الدولة، بل هي مجموعة مستقلة مهتمة بالربح. إنهم يستهدفون في المقام الأول مؤسسات الرعاية الصحية وشركات التعليم ومقدمي الخدمات المهنية والشركات في قطاع التمويل. يقع معظم الضحايا في الولايات المتحدة والمملكة المتحدة وأستراليا.
يستمر المقال أدناه
العشرات من نقاط الضعف
والخلاصة الرئيسية هنا هي السرعة التي تعمل بها المجموعة: “بعد الاستغلال الناجح، يتحرك Storm-1175 بسرعة من الوصول الأولي إلى استخراج البيانات ونشر برنامج الفدية Medusa، غالبًا في غضون أيام قليلة، وفي بعض الحالات، في غضون 24 ساعة”، كما قال الباحثون. “لقد أثبت الإيقاع العملياتي العالي لممثل التهديد وكفاءته في تحديد الأصول المحيطة المكشوفة نجاحه.”
للوصول الأولي، تتعرج المجموعة بين صفر يومًا وn من الأيام. بالنسبة للأيام الصفرية، شوهدوا وهم يسيئون استخدام الأخطاء حتى قبل أسبوع من الكشف العلني عنها، ولمدة n من الأيام، كانوا يحاولون استغلالها في أقرب وقت ممكن – مما يمنح المدافعين القليل من الوقت لنشر التصحيحات وعمليات التخفيف.
حتى الآن تم تحديد أكثر من 16 نقطة ضعف تم كشفها، مما أثر على 10 منتجات. يتضمن ذلك Microsoft Exchange (CVE-2023-21529)، وPapercut (CVE-2023-27351 وCVE-2023-27350)، وIvanti Connect Secure and Policy Secure (CVE-2023-46805 وCVE-2024-21887)، وConnectWise ScreenConnect (CVE-2024-1709 وCVE). CVE-2024-1708).
تتضمن الإشارات البارزة الأخرى أخطاء في JetBrains TeamCity (CVE-2024-27198 وCVE-2024-27199)، وSimpleHelp (CVE-2024-57726، وCVE-2024-57727، وCVE-2024-57728)، وCrushFTP (CVE-2025‑31161)، وSmarterMail (CVE-2025-52691)، وBeyondTrust (CVE-2026-1731).
بعد الاختراق، يقوم المحتالون بنشر عدد لا يحصى من الأدوات المختلفة لتمكين الحركة الجانبية والمثابرة والتخفي. قبل نشر متغير Medusa Ransomware، يقومون بتعطيل أي أدوات مكافحة فيروسات أو أدوات حماية لنقطة النهاية مثبتة.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات