Microsoft Threat Intelligence团队披露,这个以中国为基地的威胁团体针对互联网暴露系统发起高强度攻击。Storm-1175的操作节奏极快,先用零日漏洞或刚披露的N日漏洞获取初始访问权。有些案例中,他们链式组合多个漏洞,比如OWASSRF,用于后续渗透。成功入侵后,团体迅速行动:创建新用户账户植入持久化机制,部署Web壳或合法RMM工具如ConnectWise ScreenConnect实现横向移动,窃取凭证并干扰安全软件运行。几天内,甚至24小时内,他们就完成数据外泄并投放Medusa ransomware。受影响行业包括医疗、教育、专业服务和金融,地点覆盖澳大利亚、英国和美国。根据链上和事件追踪,Storm-1175自2023年起链接到超过16个漏洞的具体利用记录,包括CVE-2023-21529的Microsoft Exchange Server漏洞、CVE-2023-27350的Papercut漏洞、CVE-2024-21887的Ivanti漏洞,以及CVE-2024-1709的ConnectWise ScreenConnect漏洞。其中,CVE-2025-10035的Fortra GoAnywhere MFT漏洞和CVE-2026-23760的SmarterTools SmarterMail漏洞被作为零日漏洞武器化,在公开披露前就已投入实战。Storm-1175自2023年以来链接的漏洞总数超过16个,这些漏洞覆盖Exchange Server到JetBrains TeamCity的广泛产品线。
这个团伙特别善于快速轮换漏洞利用,在披露到补丁发布间的窗口期下手。微软指出,他们针对Linux系统兴趣浓厚,近期攻击多家机构的Oracle WebLogic实例,尽管具体漏洞未知。攻击路径清晰:用PowerShell、PsExec等LOLBins结合Impacket横向移动;依赖PDQ Deployer分发Medusa ransomware;修改Windows防火墙开启RDP通道;用Impacket和Mimikatz倾倒凭证;为微软Defender设置排除规则避开扫描;最后用Bandizip打包数据,Rclone外泄。Storm-1175的16个漏洞利用案例中,至少两个零日漏洞发生在2025-2026年,针对文件传输和邮件服务器的产品。RMM工具如AnyDesk、Atera和SimpleHelp已成为双刃剑,黑客借其加密通道混淆恶意流量,降低检测风险。医疗组织首当其冲,入侵导致数据泄露和系统瘫痪,金融服务也报告类似高强度事件。
微软强调,Storm-1175的成功源于精准扫描暴露资产和零日武器化能力。团伙偏好高价值目标,快速从立足点转向勒索部署。教育和专业服务机构同样中招,凸显补丁滞后风险。近期Linux攻击增多,Oracle WebLogic成新焦点。防护建议直指核心:优先修补已知漏洞,监控RMM工具异常,禁用不必要LOLBins。Storm-1175的24小时全链路攻击模式,已成行业警钟。