微软将 Medusa 勒索软件联盟与零日攻击关联

微软表示，网络犯罪团伙Storm-1175（以部署Medusa勒索软件载荷闻名）一直在高速攻击中利用N日和零日漏洞。

该网络犯罪团伙迅速转向针对新安全漏洞以获取受害者网络访问权限，部分漏洞在一天内即被武器化，某些情况下甚至在补丁发布前一周就开始利用。

微软称：”Storm-1175从初始访问到数据外泄和Medusa勒索软件部署进展迅速，通常仅需数天，某些情况下24小时内即可完成。该威胁行为体的高运营节奏和识别暴露外围资产的能力已被证明是成功的，近期入侵严重影响医疗组织，以及澳大利亚、英国和美国的教育、专业服务和金融部门。”

微软还观察到Storm-1175运营者链接多个漏洞，通过创建新用户账户、部署远程监控管理软件、窃取凭证、禁用安全软件，然后投放勒索软件载荷，在受感染系统上获得持久化。

10月，微软报告称Storm-1175在Medusa勒索软件攻击中利用最高严重性的GoAnywhere MFT漏洞（CVE-2025-10035）超过一周，该漏洞随后才被修补。

Storm-1175作为零日利用的另一漏洞是CVE-2026-23760，SmarterTools的SmarterMail邮件服务器和协作工具中的认证绕过。

微软补充：”虽然这些近期攻击展示了Storm-1175进化的开发能力或获取漏洞经纪人等新资源的途径，但值得注意的是GoAnywhere MFT此前已被勒索软件攻击者针对，且SmarterMail漏洞据称与先前披露的缺陷相似。这些因素可能有助于促进Storm-1175随后的零日利用活动，该组织仍主要利用N日漏洞。”

在近期活动中，Storm-1175已利用10款软件产品中的16个以上漏洞，包括Microsoft Exchange（CVE-2023-21529）、Papercut（CVE-2023-27351和CVE-2023-27350）、Ivanti Connect Secure和Policy Secure（CVE-2023-46805和CVE-2024-21887）、ConnectWise ScreenConnect（CVE-2024-1709和CVE-2024-1708）。

微软还观察到其利用JetBrains TeamCity（CVE-2024-27198和CVE-2024-27199）、SimpleHelp（CVE-2024-57726、CVE-2024-57727和CVE-2024-57728）、CrushFTP（CVE‑2025‑31161）、SmarterMail（CVE-2025-52691）和BeyondTrust（CVE-2026-1731）的漏洞。

2025年3月，CISA与FBI及多州信息共享与分析中心（MS-ISAC）发布联合公告，警告Medusa勒索软件团伙的攻击已影响美国300多个关键基础设施组织。

2024年7月，微软还将Storm-1175威胁组织与另外三个网络犯罪团伙关联，指其利用VMware ESXi认证绕过漏洞发动Black Basta和Akira勒索软件攻击。