Storm-1175利用至少16個企業尚未修補的漏洞，於受害組織植入勒索軟體Medusa，最短在一天內就完成加密

最近微軟揭露中國駭客組織Storm-1175的攻擊活動，就是這種型態的例子。這些以經濟利益為動機的駭客，鎖定曝露在網際網路的系統，將廠商公開的已知漏洞（N-Day）快速打造成武器，在企業組織尚未普遍套用修補程式空窗期從事活動，一旦得逞，駭客就會迅速外洩資料並部署勒索軟體Medusa，大部分攻擊只有短短數天，有些甚至在1天內就完成。值得留意的是，這些駭客雖然主要使用已知漏洞，不過微軟也看到使用零時差漏洞的情況，有些在漏洞公布前一週就用於攻擊行動，再者，這些駭客也會串連多個漏洞，目的是推動入侵之後的活動流程。

在Storm-1175成功入侵受害組織並建立初期的存取管道後，他們就會設置新帳號，接著，部署遠端監控與管理工具（RMM）等多種工具來橫向移動、竊取憑證、竄改端點防護軟體，最終部署勒索軟體。微軟指出，這些駭客最近活動大多針對美國、英國、澳洲，嚴重影響了醫療機構、教育、專業服務，以及金融領域。

微軟指出，Storm-1175從2023年開始，至少利用16個漏洞，這些漏洞影響郵件伺服器Exchange、列印管理系統PaperCut、Ivanti Connect Secure、ConnectWise ScreenConnect、JetBrains TeamCity、SimpleHelp、CrushFTP、GoAnywhere、SmarterMail、BeyondTrust。他們利用漏洞的速度極快，例如，去年4月24日SAP公布NetWeaver漏洞CVE-2025-31324，微軟隔天就看到Storm-1175用於實際攻擊。

另一個微軟提到的現象，是這些駭客濫用的遠端監控與管理工具相當多元，他們至少使用了8種，涵蓋：Atera、Level、N-able、DWAgent、MeshAgent、ConnectWise ScreenConnect、AnyDesk，以及SimpleHelp。