Microsoftは、Storm-1175として追跡している素早い脅威アクターが、インターネットに露出したシステムの脆弱性を積極的に悪用し、数日以内に、時には24時間以内にMedusaランサムウェアを配信していることを警告しています。
Storm-1175は、Webサービスで最近開示された「N-day」脆弱性を武器化して、高速なランサムウェア操作で知られる金銭目的のグループです。
このアクターは、公開開示と広範なパッチ展開の間の短い窓に重点を置き、まだ更新またはペリメータシステムを強化していない組織に繰り返し攻撃を仕掛けています。
Microsoftによると、Storm-1175は最近、オーストラリア、イギリス、米国の医療、教育、専門サービス、および金融機関に対して影響度の高いMedusaランサムウェア侵入を主導しています。
ターゲットが侵害されると、このグループは通常、初期アクセスからデータ窃盗とランサムウェア展開に数日以内に移行し、場合によっては約24時間でこの攻撃チェーンを完了しています。
Web露出脆弱性を悪用するStorm-1175
Storm-1175の初期アクセスはほぼ常に、電子メール、リモートアクセス、IT管理プラットフォームを含む、Webに露出した脆弱なインフラストラクチャの悪用から始まります。
2023年以来、MicrosoftはこのグループをMicrosoft Exchange、PaperCut、Ivanti Connect Secure、ConnectWise ScreenConnect、JetBrains TeamCity、SimpleHelp、CrushFTP、GoAnywhere MFT、SmarterMail、およびBeyondTrust製品全体の12以上のCVEの悪用に関連付けています。
グループは主にN-dayバグを悪用していますが、Microsoftはまた、Storm-1175が公開開示の約1週間前にゼロデイエクスプロイトを展開しているのを観察しています。
特に注目すべきは、SAP NetWeaver脆弱性CVE-2025-31324の悪用がSAPアドバイザリの公開からわずか1日後に見られたことで、Storm-1175がいかに迅速に新しいエクスプロイトコードを運用化できるかを示しています。
このアクターはまた、複数の脆弱性を組み合わせてリモートコード実行などのより深い侵害後のアクションを可能にします。これは、オンプレミスのExchangeサーバーに対する以前の「OWASSRF」エクスプロイトの場合と同様です。
最近、Microsoftはstorm-1175が脆弱なOracle WebLogicインスタンスを含むWindowsおよびLinux環境の両方をターゲットにしており、潜在的な被害者のプールを拡大していることを見ています。
ペリメータサービスを悪用した後、Storm-1175は通常、Webシェルまたはリモートアクセスペイロードをドロップし、その後、新しいローカルアカウントを作成して、それらを管理者に昇格させ、環境内で永続化します。
グループはPowerShellやPsExecなどのツールを使用した「生ける土地」の手法に大きく依存しており、多くの場合、Cloudflareベースのトンネルを設定し、時には正当なバイナリになりすまして、リモートデスクトッププロトコル上で横方向に移動します。
リモート監視および管理(RMM)ソフトウェアはグループの侵害後ツールキットの中核であり、Microsoftは永続性、C2、およびペイロード配信のためにAtera、Level、N-able、DWAgent、MeshAgent、ScreenConnect、AnyDesk、およびSimpleHelpの悪用を報告しています。
ネットワーク全体にわたる広範なランサムウェアプッシュの場合、Storm-1175は多くの場合、PDQ Deployerを使用してスクリプトとバイナリを多くのシステムに同時に静かに配布します。
認証情報アクセスのために、グループはImpacketとMimikatzを使用してLSASSをダンプし、レジストリを介してWDigestクレデンシャルキャッシュを切り替え、タスクマネージャーなどのツールを悪用してパスワード資料を取得します。
昇格された認証情報があれば、ドメインコントローラーにピボットし、NTDS.ditおよびSAMハイブを収穫してオフラインパスワードクラッキングと広範なドメイン侵害を可能にします。
Medusa展開
Medusaペイロードを起動する前に、Storm-1175はセキュリティ制御を改ざんし、Microsoft Defender Antivirusレジストリ設定を変更し、C:\ drive全体の除外など、検出を回避するための包括的な除外を追加します。
その後、グループはBandizipなどのユーティリティを使用して高価値データを圧縮し、Rcloneを使用して攻撃者制御のクラウドストレージにバルクデータセットを流出させ、漏洩サイトを介してMedusaの二重脅迫モデルをサポートします。
十分なアクセスが確立されると、Storm-1175は通常、PDQ Deployerスクリプトまたはグループポリシーの更新を介してMedusaランサムウェア展開をトリガーし、環境全体のシステムを暗号化し、盗まれたデータを利用して被害者に支払いを強要します。
Microsoftの Defender スイートは、疑わしいRMMアクティビティとPsExec使用から、Rclone ベースの流出、Defender改ざん、およびMedusaスタイルの暗号化動作に至るまで、各段階で警告を発行し、信号が迅速にトリアージされた場合、ディフェンダーがキルチェーンを破壊できるようにします。
Microsoftは、組織にインターネット露出アセットをハードン化し、外部攻撃サーフェス管理を使用して露出をマッピングし、Storm-1175および他のMedusaアフィリエイトを引き付ける脆弱なサービスに積極的にパッチを適用または分離するよう促しています。
推奨される対策には、必須のパブリックサービスの周囲にVPNとWAF保護を適用し、Credential Guardと攻撃サーフェス削減ルールを有効にし、不正なアンチウイルス変更をブロックするためにテナント全体の改ざん保護をオンにすることが含まれます。
エンタープライズはまた、RMMツールを厳密に制御および監視し、承認されたリモートアクセスにMFAを適用し、不正なRMM インストールを潜在的なハンズオンキーボード侵入として調査する必要があります。
Microsoftは、Defender XDRとSecurity Copilotを使用している組織が、攻撃の破壊をさらに自動化し、Storm-1175に関連するインシデントを迅速に要約し、Medusa展開が完了する前に同様の高速ランサムウェアキャンペーンを検出するための標的化されたハンティングクエリを生成できることに注目しています。
翻訳元: https://gbhackers.com/microsoft-warns-storm-1175/
