Nhóm Storm-1175 đến từ Trung Quốc liên tục khai thác zero-day nhằm triển khai ransomware Medusa

Một nhóm đe dọa có trụ sở tại Trung Quốc, định danh là Storm-1175, vừa bị Microsoft Threat Intelligence quy trách nhiệm cho hàng loạt chiến dịch tấn công tốc độ cao. Nhóm này nổi tiếng với khả năng kết hợp nhuần nhuyễn giữa lỗ hổng Zero-day và N-day để xâm nhập, đánh cắp dữ liệu và triển khai ransomware Medusa chỉ trong vòng 24 đến 48 giờ.

Theo ghi nhận, Storm-1175 có nhịp độ hoạt động cực cao và khả năng quét tìm các tài sản biên (edge assets) bị lộ lọt vô cùng hiệu quả. Các vụ xâm nhập gần đây đã gây tác động nghiêm trọng đến nhiều tổ chức thuộc lĩnh vực y tế, giáo dục, dịch vụ chuyên nghiệp và tài chính tại Úc, Vương quốc Anh và Mỹ.

Chiến thuật xâm nhập và duy trì hiện diện

Điểm đặc biệt của Storm-1175 nằm ở khả năng tận dụng lỗ hổng Zero-day trước cả khi chúng được công khai. Trong nhiều trường hợp, nhóm thực hiện Exploit Chain (chuỗi khai thác nhiều lỗ hổng, ví dụ: OWASSRF) để phá vỡ các lớp phòng thủ nghiêm ngặt nhất.

Sau khi giành được quyền truy cập ban đầu, nhóm thực hiện các bước sau để bám trụ và leo thang:

• Tạo lập hạ tầng: Thiết lập tài khoản người dùng mới hoặc triển khai web shell.

• Lợi dụng công cụ hợp pháp: Sử dụng các phần mềm quản trị từ xa (RMM) như AnyDesk, Atera, MeshAgent nhằm hòa lẫn lưu lượng độc hại vào các nền tảng đáng tin cậy.

• Vô hiệu hóa phòng thủ: Can thiệp vào hoạt động của các giải pháp bảo mật trước khi thực hiện hành vi mã hóa dữ liệu.

Danh mục hơn 16 lỗ hổng bị Storm-1175 khai thác (2023 – 2026)

Microsoft xác định nhóm này thường xuyên xoay vòng các lỗ hổng ngay trong khoảng thời gian từ khi công bố đến khi bản vá được áp dụng rộng rãi – giai đoạn mà nhiều tổ chức vẫn chưa kịp phòng thủ.

Trong đó, hai lỗ hổng CVE-2025-10035 và CVE-2026-23760 được xác nhận đã bị khai thác dưới dạng zero-day trước khi công khai.

Lưu ý: Cuối năm 2024, nhóm bắt đầu chuyển hướng mạnh vào hệ thống Linux, trong đó có việc khai thác các instance Oracle WebLogic dễ bị tổn thương tại nhiều tổ chức. Tuy nhiên, lỗ hổng cụ thể đang được sử dụng vẫn chưa được xác định.

Một số kỹ thuật đáng chú ý được quan sát trong các cuộc tấn công 

• Kỹ thuật đáng chú ý (TTPs)

  Sự nguy hiểm của Storm-1175 còn đến từ việc sử dụng các kỹ thuật tinh vi để di chuyển ngang và trích xuất dữ liệu:

  1. Sử dụng LOLBins: Lợi dụng các binary có sẵn trên hệ thống như PowerShell, PsExec và bộ công cụ Impacket.

  2. Phụ thuộc PDQ Deployer: Sử dụng công cụ này để phát tán nhanh payload ransomware Medusa khắp mạng nội bộ.

  3. Thao túng Firewall: Thay đổi chính sách Windows Firewall để mở cổng RDP nhằm chuyển payload sang các thiết bị khác.

  4. Dump Credential: Sử dụng Mimikatz để đánh cắp thông tin xác thực của quản trị viên.

  5. Che giấu vết b lần: Cấu hình loại trừ cho Microsoft Defender Antivirus và sử dụng Bandizip để nén dữ liệu, Rclone để chuyển dữ liệu ra ngoài.

  Khuyến nghị từ chuyên gia bảo mật

  Để đối phó với một nhóm có tốc độ tấn công “thần tốc” như Storm-1175, các tổ chức cần thực hiện ngay:

  • Rút ngắn thời gian vá lỗi: Ưu tiên vá ngay các lỗ hổng trên thiết bị biên (Gateway, VPN, Mail Server) trong vòng 24h kể từ khi có bản vá.

  • Kiểm soát chặt chẽ RMM: Giám sát các công cụ quản trị từ xa như AnyDesk, ScreenConnect; chỉ cho phép sử dụng các công cụ được phê duyệt chính thức.

  • Tăng cường phòng thủ nội bộ: Sử dụng EDR/XDR để phát hiện các hành vi bất thường từ LOLBins và ngăn chặn việc dump bộ nhớ (LSASS).

  • Phân tách mạng: Hạn chế quyền truy cập giữa các vùng mạng để ngăn chặn khả năng di chuyển ngang bằng RDP hoặc Impacket.

  Việc Storm-1175 có thể chuyển từ xâm nhập sang triển khai ransomware chỉ trong vài giờ cho thấy các phương thức bảo vệ truyền thống dựa trên chu kỳ quét hàng tuần đã không còn hiệu quả. Một cơ chế giám sát thời gian thực và phản ứng nhanh là yếu tố sống còn hiện nay.

Nguồn: The Hacker News