Zero-day + tốc độ 24h: Storm-1175 đang thay đổi cuộc chơi ransomware
Tóm tắt chiến dịch
Nhóm tin tặc mang động cơ tài chính có liên hệ với Trung Quốc — Storm-1175 — đang gióng lên hồi chuông báo động ở mức cao nhất khi kết hợp năng lực khai thác lỗ hổng Zero-day (hiếm thấy ở các băng đảng tống tiền) vào hệ sinh thái Medusa Ransomware. Thay vì dùng phishing hay mua lại thông tin đăng nhập, Storm-1175 trực tiếp săn lùng bộ đệm các ứng dụng Web-facing và khai thác hàng loạt lỗ hổng bảo mật nghiêm trọng một tuần trước khi mã CVE được công bố ra công chúng.
Chiến dịch này đặc biệt leo thang nhắm vào ngành Y tế (Healthcare) và cơ sở hạ tầng trọng yếu tại Mỹ, Anh, Úc. Với tốc độ lây nhiễm chớp nhoáng (dwell time chỉ vỏn vẹn từ 5-6 ngày, cá biệt có sự cố nổ mã hoá dưới 24 giờ), năng lực phát triển exploit của Storm-1175 đã xóa nhòa lằn ranh giữa tội phạm mạng thông thường và các tổ chức APT do chính phủ hậu thuẫn.
Hành động cấp bách: Các tổ chức đang phơi xuất (expose) dịch vụ MFT, Email Server hoặc hệ thống RMM ra ngoài Internet cần xem xét lại hoàn toàn mô hình phòng ngự, do "window of exposure" (khoảng thời gian an toàn trước khi bản vá được phát hành) hiện tại đã xấp xỉ bằng Không.
Hồ sơ Nhóm Tin tặc
Theo hồ sơ tình báo từ Microsoft Threat Intelligence (công bố tháng 4/2026), Storm-1175 là một nhóm tin tặc mang động cơ tài chính (financially motivated cybercriminal) bắt nguồn từ Trung Quốc. Nhóm này không trực tiếp phát triển mã độc tống tiền mà đóng vai trò là một nhánh Affiliate (Đại lý đánh thuê) cực kì năng nổ cho nền tảng Medusa Ransomware-as-a-Service (RaaS) từ ít nhất là năm 2023.
Lịch sử Hình thành và Đặc điểm Hoạt động
Danh xưng "Storm" là quy ước đặt tên của Microsoft dành cho các nhóm đe dọa mới nổi chưa định danh chính thức rành mạch (unattributed/emerging). Mặc dù có dấu vết IP và hạ tầng từ Trung Quốc, hành vi của Storm-1175 hoàn toàn nhắm tới lợi ích tài chính thông qua tống tiền kép, chứ không mang màu sắc tình báo hay phá hoại chính trị gián điệp của lực lượng vũ trang nhà nước (như PLA hay MSS).
Tuy nhiên, điểm dị biệt biến Storm-1175 thành nỗi ác mộng kinh hoàng chính là nguồn lực vũ khí của chúng. Một RaaS Affiliate thông thường chỉ xài lại N-day (lỗ hổng cũ đã có trên mạng) hoặc đi mua thông tin đăng nhập từ Web đen. Trong khi đó, Storm-1175 sở hữu khả năng tác chiến với Zero-day (vũ khí tinh vi vốn chỉ nằm trong tay hacker được chính phủ tài trợ). Sự giao thoa này gióng lên viễn cảnh: Storm-1175 có thể đang ngầm mua lại năng lực từ các sàn giao dịch Exploit đen, hoặc có sự chia sẻ thông tin phi chính thức từ hệ sinh thái nghiên cứu lỗ hổng nội địa Trung Quốc.
Các vụ tấn công nổi bật
Thảm họa SimonMed Imaging (Tháng 1/2025): Bước đầu nhắm vào công ty cung cấp dịch vụ chụp chiếu y khoa lớn bậc nhất nước Mỹ. Storm-1175 đã vơ vét 2 Terabytes dữ liệu nhạy cảm, tiếp tay làm lộ hồ sơ bệnh án của 1.27 triệu bệnh nhân và ngả bài đòi 1 triệu USD.
Vụ sập hạ tầng HCRG Care Group (Tháng 2/2025): Tấn công một trong những công ty cung cấp y tế tư nhân lớn nhất tại Anh, đánh cắp thành công 2.3 Terabytes dữ liệu và đưa ra yêu sách 2 triệu USD.
Sàn diễn Zero-day Fortra GoAnywhere (Tháng 9/2025): Vũ khí hoá và nổ súng bằng mã lỗi Deserialization CVE-2025-10035 (thang điểm tử thần CVSS 10.0) khoan thủng đồng loạt các hệ thống MFT của doanh nghiệp. Đáng sợ là chúng đã dùng lỗ hổng này trước khi hãng tung bản vá trọn 1 tuần (Pre-disclosure).
Đình trệ khối Y tế Bang Mississippi (Tháng 2/2026): Lan toả Medusa làm tê liệt hoàn toàn Trung tâm Y tế Đại học Mississippi (UMMC - cơ sở đầu não với 10.000 nhân viên). Vụ tấn công gây ra 9 ngày "mất điện máy tính", buộc trung tâm phải hủy lịch truyền hóa chất xạ trị cho bệnh nhân ung thư và quy trình hoạt động lui về thời kỳ sổ sách viết tay trước khi nộp đòi $800,000 USD tiền chuộc.
Timeline Sự kiện Điển hình
Lịch trình khai thác Zero-day "vượt rào" của Storm-1175 là minh chứng cho tốc độ đáng sợ:
Tấn công Zero-day Fortra GoAnywhere (Tháng 9/2025):
Ngày 10-11/09: Storm-1175 bắt đầu tấn công diện rộng qua lỗ hổng
CVE-2025-10035(CVSS 10.0 - Deserialization).Ngày 18/09: Fortra mới chính thức phát hành bản vá và xác nhận lỗ hổng. (Tấn công đi trước công bố 1 tuần).
Tấn công Zero-day SmarterMail (Năm 2026):
- Thực thi khai thác lỗi Authentication Bypass
CVE-2026-23760cũng với độ trễ phản hồi của nhà cung cấp từ 7-10 ngày sau khi mã độc đã xâm nhập xong tổ chức.
Tiến trình Dwell Time: Diễn biến từ bước chiếm quyền ban đầu tới lúc khóa File bằng Medusa thường giới hạn dưới 6 ngày.
Chuỗi tấn công
Giai đoạn 1: Initial Access (Đột nhập bằng Zero-day/N-day Web-facing)
Cơ sở dữ liệu ghi nhận Storm-1175 đã nã đạn thành công qua 16 lỗ hổng của hơn 10 nền tảng khác nhau. Các dịch vụ đứng mũi chịu sào bao gồm: Microsoft Exchange Server, PaperCut NG/MF, Ivanti Connect Secure, ConnectWise ScreenConnect, JetBrains TeamCity, SimpleHelp, CrushFTP và SmarterMail.
| Nền tảng Mục tiêu | Nhóm mã lỗi (CVE) bị khai thác | Đặc điểm/Kiểu tấn công | Tài liệu Bản vá (Patch Link) |
|---|---|---|---|
| Fortra GoAnywhere MFT | CVE-2025-10035 |
Zero-day (Deserialization, CVSS 10.0) | Fortra Security Advisories |
| SmarterTools SmarterMail | CVE-2026-23760 |
Zero-day (Authentication Bypass) | SmarterMail Release Notes |
| ConnectWise ScreenConnect | CVE-2024-1709 |
Authentication Bypass | ConnectWise Security Bulletins |
| Ivanti Connect Secure | CVE-2023-46805, CVE-2024-21887 |
Auth Bypass & Command Injection | Ivanti Security Advisories |
| JetBrains TeamCity | CVE-2024-27198, CVE-2024-27199 |
Authentication Bypass | TeamCity Security Blog |
| SimpleHelp | CVE-2024-57726, CVE-2024-57727, CVE-2024-57728 |
Lỗi thực thi viễn trình (RCE) | SimpleHelp Releases Center |
| CrushFTP | CVE-2024-4040 |
VFS Sandbox Escape / Đọc file nhạy cảm | CrushFTP Update Wiki |
| PaperCut NG/MF | CVE-2023-27350 |
Unauthenticated RCE | PaperCut Security Bulletin |
| Microsoft Exchange Server | Các hệ mã ProxyShell / ProxyNotShell |
Khai thác SSRF/RCE không cài bản vá cũ | MSRC Update Guide |
Việc Storm-1175 bao trọn kho exploit tác chiến từ máy chủ dịch vụ tệp tin (MFT), email server cho đến nền tảng quản trị viễn trình chứng tỏ đội ngũ R&D đằng sau băng đảng này quét rà toàn bộ bề mặt mạng của doanh nghiệp chứ không bó hẹp ở một lỗ hổng cố định
Giai đoạn 2: Execution & Persistence
Sau khi bẻ khoá, Storm-1175 không xài malware lạ mà cắm chốt bằng cách cấy Web shell thẳng vào ứng dụng vừa khai thác. Đáng chú ý, chúng tạo ra hàng loạt user trái phép và trải thảm bằng các hệ thống RMM (Remote Monitoring & Management) thương mại hợp pháp để bám trụ: Atera, Level, N-able, DWAgent, MeshAgent, AnyDesk... Việc này giúp luồng C2 của chúng chìm lấp trong mớ traffic Quản trị mạng hằng ngày. Kẻ tấn công cũng hay dựng Cloudflare tunnels để ngụy trang luồng kết nối ngược (reverse shell).
Giai đoạn 3: Credential Access & Defense Evasion
Để vét sạch thông tin xác thực, nhóm tặc sử dụng tổ hợp: Mimikatz, dump trực tiếp RAM LSASS qua Task Manager, bẻ cấu hình Registry WDigest để ép Windows nhớ plaintext password, và chạy script đánh cắp mật khẩu Veeam Backup. Kẻ thù trốn tránh EDR bằng cách thao túng Windows Firewall mở cổng RDP, và gạn lọc thêm các list Exclusion của Microsoft Defender Antivirus (Cấm phần mềm quét các thư mục chứa công cụ tống tiền).
Giai đoạn 4: Exfiltration & Impact
Gom dữ liệu bằng Bandizip (Archive file) và tuồn lên hạ tầng lưu trữ đám mây của attacker bằng Rclone.
Khi dữ liệu đã sang tay, Storm-1175 sử dụng PDQ Deployer để vứt bọc mã hoá đồng loạt cho toàn mạng.
Ransomware gaze.exe kích hoạt, giã thuật toán AES-256 biến toàn bộ hệ thống file thành định dạng .medusa kèm theo yêu cầu tiền chuộc.
Phân tích Tác động: Khủng hoảng Ngành Y tế
Sự kìm kẹp của Medusa đang hủy hoại sâu rộng tới khối y tế (Healthcare) — nơi máy móc lạc hậu và thời gian vô giá:
Vụ sập mạng ảnh y khoa SimonMed Imaging (2TB dữ liệu ảnh hưởng 1.27 triệu bệnh nhân, tống tiền $1 triệu USD).
Viện y tế độc lập HCRG Care Group tại Anh Quốc (Chiếm 2.3TB, đòi ransom $2 triệu USD).
Trung tâm Y tế Đại học Mississippi (Chín ngày tê liệt toàn phần, phòng khám ung thư đình trệ, nộp đòi $800,000).
Cảnh báo Tống tiền Ba Cấp (Triple Extortion): Medusa còn dồn ép nạn nhân ở mức tàn nhẫn nhất. Có những trường hợp victim đã trả tiền giải mã, nhưng sau đó xuất hiện một "kẻ thứ ba" tự xưng là tay trong của Medusa liên hệ, bảo rằng bộ khóa cũ là đồ giả, và ép nạn nhân chuyển thêm tiền để có "True Decryptor".
IOCs
File Hash
0cefeb6210b7103fd32b996beff518c9b6e1691a97bb1cda7f5fb57905c4be96
9632d7e4a87ec12fdd05ed3532f7564526016b78972b2cd49a610354d672523c
e57ba1a4e323094ca9d747bfb3304bd12f3ea3be5e2ee785a3e656c3ab1e8086
5ba7de7d5115789b952d9b1c6cff440c9128f438de933ff9044a68fff8496d19
IP C2
185.135.86[.]149
134.195.91[.]224
85.155.186[.]121
MITRE ATT&CK Mapping
TA0001 - Initial Access: T1190 (Exploit Public-Facing Application) qua các 0-day/N-day nghiêm trọng.
TA0003 - Persistence: T1505.003 (Web Shell). T1136 (Create Account).
TA0005 - Defense Evasion: T1562.001 (Disable or Modify Tools) - loại trừ thư mục khoá khỏi Windows Defender, T1562.004 (Disable or Modify System Firewall).
TA0006 - Credential Access: T1003.001 (LSASS Memory), T1003.004 (LSA Secrets) - đánh password Veeam.
TA0011 - Command and Control: T1219 (Remote Access Software) - lạm dụng Atera/AnyDesk, T1090.006 (Web Service) - Cloudflare tunnels.
TA0010 - Exfiltration: T1567.002 (Exfiltration to Cloud Storage) - bằng Rclone.
TA0040 - Impact: T1486 (Data Encrypted for Impact).
Nhận định chuyên gia
Cuộc hội tụ giữa kỹ năng bẻ khoá phần mềm Zero-day cấp độ Quốc Gia (Nation-State) với tư duy kiếm tiền tàn độc của Tội phạm băng đảng (RaaS) đã cấu thành cơn ác mộng lớn nhất trong mười năm trở lại đây. Storm-1175 đã chứng minh cho một hiện thực tàn khốc: "Window of Vulnerability" (Khung thời gian cho phép bạn chờ đến kỳ Patch hệ thống tiếp theo) đã bị kéo xuống bằng Không. Khi kẻ thù có nhã hứng săn các app Web-facing của doanh nghiệp, chúng đã bóp cò một tuần trước khi hãng phần mềm kịp gửi mail xin lỗi và phát hành CVE.
Hơn nữa, nếu công ty bạn chưa gỡ hoặc không quản lý cấu hình các giải pháp Remote Admin (RMM) một cách có chủ đích, bạn đang gián tiếp tự nuôi dưỡng backdoor hoàn hảo mọc lên giữa lòng hạ tầng mạng bảo mật của riêng mình.
Khuyến nghị
Immediate (Tức thời 0-24h)
Áp bản vá (Patch) ở mức ưu tiên Emergency cho toàn bộ ứng dụng đang chĩa súng ra Internet, trọng tâm: Fortra GoAnywhere MFT, SmarterMail, ConnectWise ScreenConnect, Ivanti Connect Secure, JetBrains TeamCity.
Nếu không có sẵn patch bảo mật: Cô lập, dập truy cập Public hoặc chắn trước chúng bằng các WAF (Web Application Firewall) thiết lập rule signature khắt khe nhất để đánh chặn payload Deserialization.
Short-term (1-7 ngày)
Cấu hình lại cơ chế Threat Hunting nội bộ để bắt dị thường trong các tác vụ RMM. Nếu server phòng kế toán bỗng dưng cài AnyDesk hay phần mềm Cloudflare Tunnel chạy dịch vụ ngầm, đó là Level 1 Incident.
Theo dõi các event ID đọc/ghi memory của
LSASS.exeở mức cao nhất. Viết logic cảnh báo đối với thao tác gỡ lớp rào File Exclusion của Defender Antivirus thông qua PowerShell/CMD.
Long-term
Chấp nhận chiến lược kiến trúc "Zero Trust cho Perimeter". Hiểu rằng máy chủ Public-facing dù có update mới nhất vẫn có thể bị dính 0-day bất kỳ lúc nào. Áp dụng kỹ thuật Micro-segmentation để nhốt dính máy chủ web nếu chúng bị lây nhiễm, chặn kết nối đâm chéo (lateral movement) vào server Core.
Thiết kế máy chủ Backup và hệ thống Veeam tách riêng rẽ hoàn toàn khỏi các Domain Controller credential bề mặt để tránh bị đánh sập cả cụm. Triển khai phương thức Offline Backup Test dành riêng cho tình huống khủng hoảng.
Tham khảo
https://thehackernews.com/2026/04/china-linked-storm-1175-exploits-zero.html
