文章总结： 微软报告称Storm-1175团伙（Medusa勒索软件运营者）频繁利用N日与零日漏洞进行高速攻击，可在24小时内完成从入侵到数据泄露的全流程。该团伙主要攻击医疗、教育、金融等行业，通过创建账户、禁用安防等手段实现持久化。涉及漏洞包括GoAnywhereMFT、SmarterMail等16个以上系统漏洞。建议机构及时修补已知漏洞并加强外围资产监控。 综合评分： 85 文章分类： 漏洞分析,威胁情报,恶意软件,应急响应,安全运营

【安全圈】微软将 Medusa 勒索软件联盟与零日攻击关联

安全圈

2026年4月7日 19:01 江苏

关键词

漏洞

微软表示，网络犯罪团伙Storm-1175（以部署Medusa勒索软件载荷闻名）一直在高速攻击中利用N日和零日漏洞。

该网络犯罪团伙迅速转向针对新安全漏洞以获取受害者网络访问权限，部分漏洞在一天内即被武器化，某些情况下甚至在补丁发布前一周就开始利用。

微软称：”Storm-1175从初始访问到数据外泄和Medusa勒索软件部署进展迅速，通常仅需数天，某些情况下24小时内即可完成。该威胁行为体的高运营节奏和识别暴露外围资产的能力已被证明是成功的，近期入侵严重影响医疗组织，以及澳大利亚、英国和美国的教育、专业服务和金融部门。”

微软还观察到Storm-1175运营者链接多个漏洞，通过创建新用户账户、部署远程监控管理软件、窃取凭证、禁用安全软件，然后投放勒索软件载荷，在受感染系统上获得持久化。

10月，微软报告称Storm-1175在Medusa勒索软件攻击中利用最高严重性的GoAnywhere MFT漏洞（CVE-2025-10035）超过一周，该漏洞随后才被修补。

Storm-1175作为零日利用的另一漏洞是CVE-2026-23760，SmarterTools的SmarterMail邮件服务器和协作工具中的认证绕过。

微软补充：”虽然这些近期攻击展示了Storm-1175进化的开发能力或获取漏洞经纪人等新资源的途径，但值得注意的是GoAnywhere MFT此前已被勒索软件攻击者针对，且SmarterMail漏洞据称与先前披露的缺陷相似。这些因素可能有助于促进Storm-1175随后的零日利用活动，该组织仍主要利用N日漏洞。”

在近期活动中，Storm-1175已利用10款软件产品中的16个以上漏洞，包括Microsoft Exchange（CVE-2023-21529）、Papercut（CVE-2023-27351和CVE-2023-27350）、Ivanti Connect Secure和Policy Secure（CVE-2023-46805和CVE-2024-21887）、ConnectWise ScreenConnect（CVE-2024-1709和CVE-2024-1708）。

微软还观察到其利用JetBrains TeamCity（CVE-2024-27198和CVE-2024-27199）、SimpleHelp（CVE-2024-57726、CVE-2024-57727和CVE-2024-57728）、CrushFTP（CVE‑2025‑31161）、SmarterMail（CVE-2025-52691）和BeyondTrust（CVE-2026-1731）的漏洞。

2025年3月，CISA与FBI及多州信息共享与分析中心（MS-ISAC）发布联合公告，警告Medusa勒索软件团伙的攻击已影响美国300多个关键基础设施组织。

2024年7月，微软还将Storm-1175威胁组织与另外三个网络犯罪团伙关联，指其利用VMware ESXi认证绕过漏洞发动Black Basta和Akira勒索软件攻击。

END

阅读推荐

【安全圈】俄罗斯打击VPN致全国银行瘫痪

【安全圈】用户隐私遭泄露，OpenClaw被黑客”PUA”成内鬼

【安全圈】3月勒索软件攻势创纪录

【安全圈】抖音网页版突发网络崩溃，用户访问受阻

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】微软将 Medusa 勒索软件联盟与零日攻击关联》