Das **Microsoft** Threat Intelligence Team berichtet, dass **Storm-1175** Zero-Day-Exploits nutzt, noch bevor diese öffentlich bekannt werden, sowie kürzlich gepatchte Schwachstellen, um den initialen Zugriff zu erlangen. In einigen Fällen kettet der Bedrohungsakteur mehrere Exploits, wie **OWASSRF**, für Aktivitäten nach der Kompromittierung an. ### Schnelle Datenexfiltration und Ransomware-Bereitstellung Nachdem ein Fuß gefasst wurde, exfiltriert der finanziell motivierte Cyberkriminelle schnell Daten und setzt **Medusa** Ransomware ein, oft innerhalb von Tagen und manchmal nur innerhalb von 24 Stunden. Diese schnelle Bereitstellung unterstreicht die Dringlichkeit für Organisationen, Schwachstellen umgehend zu patchen. ### Persistenz- und Umgehungstechniken Um die Persistenz aufrechtzuerhalten, erstellt die Gruppe neue Benutzerkonten, setzt Web-Shells ein oder nutzt legitime Remote Monitoring and Management (RMM)-Software für laterale Bewegungen. Sie führen auch Credential Theft durch und stören aktiv Sicherheitslösungen, um eine Erkennung zu vermeiden. ### Ausgenutzte Schwachstellen Seit 2023 wurde **Storm-1175** mit der Ausnutzung von über 16 Schwachstellen in Verbindung gebracht, darunter: * **CVE-2023-21529** (Microsoft Exchange Server) * **CVE-2023-27351** und **CVE-2023-27350** (**Papercut**) * **CVE-2023-46805** und **CVE-2024-21887** (**Ivanti** Connect Secure und Policy Secure) * **CVE-2024-1708** und **CVE-2024-1709** (**ConnectWise** ScreenConnect) * **CVE-2024-27198** und **CVE-2024-27199** (**JetBrains** TeamCity) * **CVE-2024-57726**, **CVE-2024-57727** und **CVE-2024-57728** (SimpleHelp) * **CVE-2025-31161** (CrushFTP) * **CVE-2025-10035** (Fortra GoAnywhere MFT) * **CVE-2025-52691** und **CVE-2026-23760** (SmarterTools SmarterMail) * **CVE-2026-1731** (BeyondTrust)  Es wird berichtet, dass sowohl **CVE-2025-10035** als auch **CVE-2026-23760** als Zero-Days vor der öffentlichen Offenlegung ausgenutzt wurden. Die Gruppe hat auch eine Tendenz gezeigt, Linux-Systeme zu attackieren, einschließlich anfälliger **Oracle** WebLogic-Instanzen, obwohl die spezifische verwendete Schwachstelle unbekannt bleibt. ### Empfehlungen und Abhilfemaßnahmen **Microsoft** betont, dass **Storm-1175** Exploits schnell zwischen Offenlegung und Patch-Verfügbarkeit rotiert und das Zeitfenster ausnutzt, in dem viele Organisationen ungeschützt bleiben. Zu den beobachteten Kernstrategien gehören: * Nutzung von "living-off-the-land"-Binaries (LOLBins) wie PowerShell und PsExec sowie Impacket für laterale Bewegungen. * Einsatz von PDQ Deployer für laterale Bewegungen und Payload-Bereitstellung, einschließlich **Medusa** Ransomware. * Modifizierung von Windows Firewall-Richtlinien zur Ermöglichung von Remote Desktop Protocol (RDP) und zur Bereitstellung bösartiger Payloads. * Durchführung von Credential Dumping mit Impacket und Mimikatz. * Konfiguration von **Microsoft** Defender Antivirus-Ausschlüssen zur Umgehung der Erkennung. * Verwendung von Bandizip und Rclone zur Datensammlung und Exfiltration. Die zunehmende Nutzung von RMM-Tools wie AnyDesk, Atera, MeshAgent, **ConnectWise** ScreenConnect oder SimpleHelp als Dual-Use-Infrastruktur ist ein erhebliches Problem, da sie es Bedrohungsakteuren ermöglicht, bösartigen Datenverkehr in vertrauenswürdige, verschlüsselte Plattformen einzuschleusen und so die Wahrscheinlichkeit einer Erkennung zu verringern.