微軟威脅情報團隊於4月7日發布報告指出，財務動機網路犯罪組織Storm-1175正以「高速度」發動勒索軟體攻擊，平均在入侵後數天內、甚至24小時內即完成資料外洩並部署Medusa勒索軟體。該組織主要利用已知N-day漏洞與零日漏洞，快速橫向移動、竊取憑證並破壞防禦系統，已嚴重影響澳洲、英國與美國的醫療、教育、專業服務與金融產業。對台灣高度數位化且常成為區域攻擊跳板的企業與醫療機構而言，此高速度攻擊模式敲響重大警鐘，修補速度已成為生死存亡的關鍵。

 

微軟威脅情報指出，Storm-1175的攻擊劇本以「速度」為核心：從漏洞利用、憑證竊取、橫向移動到資料外洩與勒索軟體部署，整個過程極為迅速。該組織擅長利用「甜蜜點」漏洞——即漏洞公開後、廣泛修補前的窗口期。近期被利用的已知漏洞包括CVE-2026-1731（BeyondTrust Remote Support關鍵RCE）、CVE-2025-31161（CrushFTP認證繞過）、CVE-2024-27198（JetBrains TeamCity認證繞過）與CVE-2023-21529（Microsoft Exchange）。此外，Storm-1175也被懷疑與多個零日漏洞有關，例如CVE-2026-23760（SmarterMail認證繞過）與CVE-2025-10035（GoAnywhere MFT）。

 

微軟資安策略總經理Sherrod DeGrippo表示：「Storm-1175的作戰節奏極快，組織必須在漏洞釋出後立即優先修補。」該組織常用遠端監控管理（RMM）工具進行橫向移動、Impacket進行憑證傾印、Rclone進行資料外洩，並擅長竄改Microsoft Defender Antivirus設定，讓Medusa酬載得以執行。微軟警告，此類竄改需先取得高權限帳號，因此憑證保護與異常偵測至關重要。

 

Storm-1175主要鎖定醫療、教育、專業服務與金融產業，這些領域擁有大量敏感資料，且IT環境複雜，修補速度往往較慢。微軟觀察到，攻擊者會優先掃描暴露的邊緣資產，快速建立立足點後展開後續行動。

 

台灣資安專家分析，此高速度攻擊模式對台灣影響重大。台灣醫療院所與金融機構廣泛使用BeyondTrust、JetBrains、Microsoft Exchange等產品，若未及時修補N-day漏洞，極易成為Storm-1175或類似組織的目標。近期台灣已多次傳出醫療與金融業遭勒索軟體攻擊事件，Storm-1175的快速部署能力將進一步壓縮應變時間。

 

微軟提出以下具體防護建議，台灣企業應立即參考實施：

 

DeGrippo強調：「Storm-1175的成功關鍵在於速度。組織若能比攻擊者更快完成修補與應變，就能大幅降低風險。」

 

此次報告再次提醒，N-day漏洞已成為勒索集團最愛的攻擊向量。台灣企業與政府單位切勿心存僥倖，必須將「快速修補」列為資安核心政策，否則在Storm-1175等高速度攻擊面前，將毫無招架之力。

 

 

出處： 基於Dark Reading文章《Storm-1175 Deploys Medusa Ransomware at 'High Velocity'》，作者Rob Wright，發布日期2026年4月8日；並參考Microsoft Threat Intelligence部落格、Sherrod DeGrippo訪談，以及CISA KEV目錄相關記錄。