脅威インテリジェンス企業GreyNoiseは、2025年5月27日からProgress MOVEit Transferシステムを標的としたスキャン活動が「顕著に急増」していると警告しています。これは、攻撃者が新たな大規模悪用キャンペーンの準備をしているか、未修正のシステムを探している可能性を示唆しています。
MOVEit Transferは、企業や政府機関が機密データを安全に共有するために使用する人気のマネージドファイル転送ソリューションです。高価値の情報を扱うことが多いため、攻撃者にとって格好の標的となっています。
「この日以前は、スキャンはごくわずかで、通常1日に観測されるIPは10未満でした」と同社は述べています。「しかし5月27日には、その数が100を超えるユニークIPに急増し、5月28日には319IPに達しました。」
それ以降、1日あたりのスキャナーIP数は200~300の間で断続的に高い状態が続いており、GreyNoiseはこれが「通常の挙動からの大きな逸脱」であると述べています。
過去90日間で最大682のユニークIPがこの活動に関連して検出されており、過去24時間だけでも449のIPアドレスが観測されています。そのうち344件が疑わしいと分類され、77件が悪意のあるものとされています。
大多数のIPアドレスはアメリカ合衆国に位置しており、次いでドイツ、日本、シンガポール、ブラジル、オランダ、韓国、香港、インドネシアが続きます。
GreyNoiseはまた、2025年6月12日に2つの既知のMOVEit Transferの脆弱性(CVE-2023-34362およびCVE-2023-36934)を悪用しようとする低頻度の攻撃試行も検知したと述べています。なお、CVE-2023-34362は2023年にCl0pランサムウェアグループによって大規模なキャンペーンの一環として悪用され、2,770以上の組織に影響を与えました。
スキャン活動の急増は、MOVEit Transferのインスタンスが再び脅威アクターのスキャナーの標的となっていることを示しており、ユーザーは不審なIPアドレスをブロックし、ソフトウェアを最新の状態に保ち、インターネット上に公開しないようにすることが重要です。
翻訳元: https://thehackernews.com/2025/06/moveit-transfer-faces-increased-threats.html