多産的なサイバー犯罪グループが過去3年間、高速テンポのMedusaランサムウェア攻撃でn-dayおよびゼロデイエクスプロイトを武器化していたことをMicrosoftが明かした。
Storm-1175は、通常は脆弱性公開からパッチ適用までの間隙を悪用する経済的動機を持つ行為者であるとMicrosoftは4月6日のブログ投稿で述べている。
「この脅威行為者の高い作戦テンポと露出した周辺資産の識別能力は証明された実績があり、最近の侵入はオーストラリア、英国、米国のヘルスケア組織ならびに教育、専門サービス、金融セクターに大きな影響を与えている」と述べた。
このグループは2023年以来、少なくとも16個の脆弱性をこの方法で悪用しており、CVE-2025-10035などの3つのゼロデイ脆弱性を含んでいる。GoAnywhere Managed File Transferのこの脆弱性は、昨年の公開から1週間前に悪用されていた。
詳細を読む:Storm-1175:Microsoft:Medusaランサムウェアキャンペーンで悪用された重大なGoAnywhere脆弱性
Microsoftが指摘したStorm-1175が使用する典型的なTTP:
- グループはWebシェルを作成するか、リモートアクセスペイロードをドロップして最初の足がかりを確立し、初期アクセスからランサムウェア展開まで1~6日以内に進める
- 新しいユーザーを作成し、そのユーザーを管理者グループに追加することで永続性を確立する
- PowerShellおよびPsExecなどのLiving-off-the-land バイナリ(LOLBins)を含む、偵察およびラテラルムーブメントのための様々なツールをローテーションし、その後Cloudflareトンネルを使用してRemote Desktop Protocol(RDP)を介してラテラルに移動し、新しいデバイスにペイロードを配信する
- 侵害後のアクティビティ中に複数のリモートモニタリング・管理(RMM)ツールを使用して、新しいユーザーアカウントの作成、代替コマンド・アンド・コントロール(C2)方式の有効化、追加ペイロードの配信、またはインタラクティブなリモートデスクトップセッションとしての使用を行う
- 正当なソフトウェア配置ツールPDQ Deployerが、ラテラルムーブメントおよびペイロード配信のためのアプリケーションをサイレントインストールするために使用される場合がある
- Pythonベースのツール Impacketがラテラルムーブメントと認証情報ダンプに使用される場合がある
- グループは時々レジストリに保存されているMicrosoft Defender Antivirus設定を変更して、ランサムウェアペイロードをブロックするのを防ぐ
Storm-1175にどう対処するか
Microsoftは、このグループがすでにExchange、Papercut、Ivanti Connect Secure and Policy Secure、ConnectWise ScreenConnect、JetBrains TeamCity、SimpleHelp、CrushFTP、GoAnywhere MFT、SmarterMailおよびBeyondTrustの脆弱性を悪用していると述べた。
攻撃の脅威を軽減するため、組織は最初にペリメータスキャンツールを使用して攻撃面の範囲を理解する必要があるとMicrosoftは推奨している。Webに面したシステムは公開インターネットからセキュアなネットワーク境界で隔離し、仮想プライベートネットワーク(VPN)経由でのみアクセス可能にすべきである。
これらのシステムが接続されていなければならない場合、組織はこれらのシステムをWebアプリケーションファイアウォール(WAF)、リバースプロキシ、またはペリメータネットワーク(別名DMZ)の後ろに配置する必要があると報告書は続けた。
Microsoftはまた推奨している:
- ランサムウェアに関するガイダンスに従い、認証情報衛生とラテラルムーブメント制限に関する指導に従うこと
- プロセスメモリに保存されている認証情報を保護するためにCredential Guardを実装する
- 改ざん防止を有効にして、攻撃者がセキュリティサービスを停止したり、アンチウイルス除外を使用したりするのを防ぐ
- 未承認のRMMインストールを削除し、承認されたものに多要素認証(MFA)を追加する
- XDRツールを設定して、ランサムウェア攻撃で使用される一般的な攻撃技術を防ぐ
翻訳元: https://www.infosecurity-magazine.com/news/storm1175-medusa-attacks/
