マイクロソフトによれば、Medusaランサムウェアペイロードの展開で知られている中国ベースの営利目的のサイバー犯罪グループStorm-1175が、高速度の攻撃によるn-dayおよびゼロデイエクスプロイトを展開しているとのことです。
このサイバー犯罪グループは、被害者ネットワークへのアクセスを獲得するために新しいセキュリティ脆弱性への標的をすばやくシフトさせ、その一部を1日以内に武器化し、場合によってはパッチがリリースされる1週間前にこれらを悪用しています。
「Storm-1175は初期アクセスからデータ流出やMedusaランサムウェアの展開に急速に移動し、多くの場合数日以内に、場合によっては24時間以内に実行しています」とマイクロソフトは述べました。
「脅威行為者の高い作戦テンポと公開されている周囲資産を特定する能力は成功を証明しており、最近の侵入はオーストラリア、イギリス、アメリカのヘルスケア組織、および教育、プロフェッショナルサービス、金融セクターに大きな影響を与えています。」
マイクロソフトはまた、Storm-1175オペレーターが複数のエクスプロイトをチェーンして、新しいユーザーアカウントを作成し、リモート監視・管理ソフトウェアを展開し、認証情報を盗み出し、セキュリティソフトウェアを無効にしてからランサムウェアペイロードを投下することで、侵害されたシステム上で永続性を獲得していることを確認しています。
10月、マイクロソフトはStorm-1175が最大深刻度のGoAnywhere MFT脆弱性(CVE-2025-10035)をMedusaランサムウェア攻撃で1週間以上パッチが適用される前に悪用していたと報告していました。
Storm-1175がゼロデイとして悪用した別の脆弱性はCVE-2026-23760で、SmarterTools’ SmarterMailメールサーバーおよびコラボレーションツールの認証バイパス脆弱性です。
「これらのより最近の攻撃はStorm-1175の進化した開発能力またはエクスプロイトブローカーなどのリソースへの新しいアクセスを示していますが、GoAnywhere MFTは以前ランサムウェア攻撃者に標的にされており、SmarterMail脆弱性は以前に公開された欠陥と同様であることが報告されていることに注目する価値があります」とマイクロソフトは追加しました。
「これらの要因はStorm-1175によるその後のゼロデイ悪用活動を促進するのに役立った可能性があり、引き続き主にN-day脆弱性を活用しています。」
最近のキャンペーンでは、Storm-1175は10のソフトウェア製品全体で16以上の脆弱性を悪用しており、Microsoft Exchange(CVE-2023-21529)、Papercut(CVE-2023-27351およびCVE-2023-27350)、Ivanti Connect SecureおよびPolicy Secure(CVE-2023-46805およびCVE-2024-21887)、ConnectWise ScreenConnect(CVE-2024-1709およびCVE-2024-1708)が含まれています。
マイクロソフトはまた、JetBrains TeamCity(CVE-2024-27198およびCVE-2024-27199)、SimpleHelp(CVE-2024-57726、CVE-2024-57727、およびCVE-2024-57728)、CrushFTP(CVE‑2025‑31161)、SmarterMail(CVE-2025-52691)、BeyondTrust(CVE-2026-1731)の脆弱性を悪用しているのを見ています。
CISAは2025年3月にFBIおよび多州情報共有分析センター(MS-ISAC)と共同勧告を発行し、Medusaランサムウェアギャングの攻撃がアメリカ全体の300以上の重要インフラ組織に影響を与えたと警告しました。
2024年7月、マイクロソフトはStorm-1175脅威グループを他の3つのサイバー犯罪グループとともに、VMware ESXi認証バイパス欠陥を悪用したBlack BastraおよびAkiraランサムウェア攻撃に関連付けました。
