MOVEit Transferシステムを標的としたスキャン活動の大幅な増加が検出されており、このソフトウェアが再び攻撃の再燃に直面する可能性が示唆されています。
脅威インテリジェンスプロバイダーのGreyNoiseは、2025年5月27日からMOVEit Transfer Scanner TagをトリガーしたユニークIP数が大幅に増加したことを検知しました。その日は100のユニークIPが検出され、翌5月28日には319に達しました。
「この最初の急増以降、スキャナーIPの1日あたりのボリュームは200~300IPの間で断続的に高い状態が続いており、これは通常値から大きく逸脱しており、MOVEit Transferが再び標的となっていることを示しています」と研究者らは指摘しています。
5月27日以前は、MOVEitを標的としたスキャン活動は最小限で、1日あたり10アドレス未満しか観測されていませんでした。
2023年夏、悪名高いClopランサムウェアグループがMOVEitファイル転送ソフトウェアの脆弱性を悪用し、BBCやブリティッシュ・エアウェイズ、薬局チェーンのBootsなど著名企業を含む数百の下流顧客を標的にしました。
合計で、GreyNoiseは2025年6月24日までの90日間に682のユニークIPによるMOVEitスキャン活動を検出しました。最も活動的だったインフラはTencent Cloudで、検出されたIPの44%が使用していました。
その他の発信元プロバイダーには、Cloudflare(17%)、Amazon(14%)、Google(5%)が含まれていました。
スキャナーIPの「圧倒的多数」が米国にジオロケートされていました。
研究者らは、この活動が攻撃者による新たなゼロデイの発見や未公開脆弱性の悪用を可能にし、MOVEit Transferシステムを再び標的とするための下準備である可能性があると考えています。
このようなスキャンパターンは、新たな脆弱性が2~4週間後に出現することとしばしば一致すると指摘しています。
「このレベルのインフラ集中、特に単一の自律システム番号(ASN)内での集中は、スキャンが意図的かつプログラム的に管理されていることを示唆しており、ランダムまたは分散型のプロービングではない」とコメントしています。
同社は、引き続き状況を監視し、必要に応じて最新情報を提供すると付け加えました。
確認されたMOVEit悪用試行
GreyNoiseはまた、2025年6月12日に2件の低頻度な悪用試行を観測したことを明らかにしました。これらは、MOVEit Transferシステムに影響を与える、以前に公開された2つのSQLインジェクション脆弱性—CVE-2023-34362およびCVE-2023-36934—に関連していました。
「これらの事象はスキャン活動が活発化している期間に発生しており、ターゲットの検証やエクスプロイトのテストを示している可能性がありますが、現時点では大規模な悪用は確認されていません」と研究者らは述べています。
同社は、MOVEit利用者が悪用試行から身を守るために以下の推奨事項を提示しています:
- 悪意のある、または疑わしいIPをブロックする
- 公開されているMOVEit Transferシステムの状況を監査する
- CVE-2023-34362およびCVE-2023-36934を含む既知の脆弱性に対するパッチを適用する
- MOVEit Transferに対する攻撃者のリアルタイム活動を監視する
翻訳元: https://www.infosecurity-magazine.com/news/moveit-attack-risk-scanning-surge/