Storm-1175黑客组织在漏洞披露24小时内部署Medusa勒索软件

一个臭名昭著的黑客组织正在全球范围内通过部署破坏性极强的Medusa勒索软件制造大规模混乱。被微软威胁情报部门追踪为Storm-1175的这些黑客，已将安全漏洞发现与补丁安装之间的时间差变成了一场高速竞赛。

微软研究人员发现，Storm-1175专门攻击尚未安装安全更新的边界脆弱资产——这些系统和设备将企业私有网络直接连接到公共互联网。

24小时闪电战

据报道，该组织专注于N-day漏洞（即已公开披露的安全缺陷）。与其他潜伏数月的黑客不同，Storm-1175往往在几天内就能完成攻击。在某些案例中，他们仅用24小时就完成了数据窃取和全网加密。"该组织在漏洞披露与补丁可用之间的窗口期快速轮换漏洞利用手段，"微软研究人员指出。

这种高效率在最近针对SAP NetWeaver系统（CVE-2025-31324）的攻击中显露无遗。该漏洞于2025年4月24日披露，次日该组织就已利用其发动Medusa勒索软件攻击。这种速度给英国、美国和澳大利亚的学校、律所及医院造成了严重破坏。

漏洞利用与披露时间线（图片来源：微软）

恶意工具的标准化使用

深入调查显示，该组织自2023年以来已利用超过16种不同漏洞，包括Papercut（CVE-2023-27351）和JetBrains TeamCity（CVE-2024-27198）等软件。他们使用0Day漏洞的能力同样惊人——2026年初，他们在SmarterMail（CVE-2026-23760）漏洞被公开前整整一周就完成了攻击。

入侵得手后，他们会劫持AnyDesk、ConnectWise ScreenConnect等日常办公工具进行隐蔽横向移动。研究人员在博客中指出，他们还使用PDQ Deployer工具实现勒索软件批量部署，并通过Rclone和Bandizip进行文件打包窃取。

Storm-1175攻击链（图片来源：微软）

瘫痪系统防御机制

Storm-1175尤其擅长安全机制篡改——获取初始访问权限后，他们常通过特殊权限将C:\驱动器添加至杀毒软件排除路径，使系统对勒索软件运行视而不见。

安全专家建议企业必须加快补丁安装速度，启用篡改防护等功能也可阻止黑客关闭杀毒软件。

行业专家深度解析

这些攻击活动的精密程度使其区别于普通网络犯罪。SafeBreach高级销售工程师Adrian Culley向Hackread.com表示："Storm-1175代表着黑客运作方式的重大转变。他们能在几小时内将新漏洞武器化，这对依赖传统慢速安全检查的企业构成致命威胁。"

"该组织与Medusa勒索软件的关联活动呈现出明显的速度升级——从初始入侵到数据外泄仅需数小时而非数日。这与MedusaLocker等依赖RDP暴力破解的 opportunistic攻击有本质区别。Storm-1175采用精心设计的攻击剧本，通过漏洞组合利用和远程管理工具加速横向移动。"

"这暴露出攻击速度与企业防御验证机制间的严重脱节。定点评估和静态扫描无法应对这种节奏，安全团队需要持续实景验证攻击路径，才能在漏洞被利用前识别并消除风险。"