Storm-1175がMedusaランサムウェアを「高速で」展開

出典：Carlo Bollo via Alamy Stock Photo

Storm-1175の攻撃者は、Medusaランサムウェアを配信するための急速なキャンペーンを実行しており、組織に重大な脆弱性をより迅速にパッチ適用するプレッシャーをかけています。 

月曜日のブログ記事で、Microsoft Threat Intelligenceは、Storm-1175という経済的動機を持つサイバー犯罪グループが「高速度のランサムウェアキャンペーン」を実施していることを詳しく説明しました。これは通常、脆弱性の初期開示からパッチの広範な採用までの間という、脅威行為者にとって絶好のタイミングで既知の脆弱性を悪用するものです。Microsoftはまた、複数のゼロデイ脆弱性の悪用をこのグループに関連付けました。

Storm-1175の戦略は速度に基づいているようです。攻撃者は脆弱性の悪用からデータ流出、最後にMedusaランサムウェアの配信へと迅速に移行しており、Microsoftによると「数日以内、場合によっては24時間以内」に行われることがあります。

「脅威行為者の高い作戦テンポと露出している周辺資産の識別における熟練度は成功を証明しており、最近の侵害はオーストラリア、イギリス、および米国のヘルスケア組織、および教育、専門サービス、金融セクターに大きな影響を与えています」とブログ記事は述べています。

これらの攻撃の急速なペースは、脅威行為者が組織が重大な欠陥をパッチするための典型的な対応時間に追いつく最新の例です。Microsoftの脅威インテリジェンスの総責任者であるSherrod DeGrippoは、Storm-1175の作戦速度を考えると、「パッチはリリース直後に優先されるべき」とDark Readingに語っています。

Storm-1175によるN日およびゼロデイの悪用

Microsoftはが、Storm-1175が12以上の既知の脆弱性またはN日を迅速に悪用していることに注目しています。最新のものはCVE-2026-1731で、BeyondTrust Remote SupportおよびベンダーのPrivileged Remote Access（PRA）の古いバージョンにおける重大なリモートコード実行の欠陥です。脆弱性は2月6日に最初に開示され、すぐに攻撃の対象となり、サイバーセキュリティおよびインフラストラクチャセキュリティ庁（CISA）は1週間後にそれを既知悪用脆弱性（KEV）カタログに追加しました。

Storm-1175によって悪用されたその他の注目すべき欠陥には、CVE-2025-31161があります。これはCrushFTPのファイル転送ソフトウェアの重大な認証回避脆弱性で、昨年の春に公開開示の紛争を引き起こしました。CVE-2024-27198は別の重大な認証回避欠陥で、今回はJetBrainsのTeamCityに影響を及ぼし、2024年3月に公開開示から数日後に大規模な悪用を見ました。CVE-2023-21529は、2023年2月のPatch Tuesday リリースで開示された3つのMicrosoft Exchange脆弱性の1つです（CVE-2023-21529の悪用活動は月曜日のブログ記事より前に確認されていませんでした）。

Microsoftはまた、いくつかのゼロデイ脆弱性をStorm-1175の攻撃に関連付けました。最新の例はCVE-2026-23760で、SmarterMailの重大な認証回避脆弱性で、中国とリンクされたStorm-2603を含むさまざまな脅威グループによって悪用されました。 

さらに、Storm-1175はCVE-2025-10035を武器化しました。これはGoAnywhereのManaged File Transfer（MFT）License Servletの最大重大度の欠陥です。Microsoftは両方のCVEが公開開示の約1週間前に悪用されたことを指摘しました。 

「これらのより最近の攻撃はStorm-1175の進化した開発能力または悪用ブローカーなどのリソースへの新しいアクセスを示していますが、GoAnywhere MFTが以前にランサムウェア攻撃者の対象になっており、SmarterMail脆弱性が報告によると以前に開示された欠陥に似ていた」とブログ記事は述べています。「これらの要因はStorm-1175によるその後のゼロデイ悪用活動を促進するのに役立ったかもしれません。Storm-1175は依然としてN日脆弱性を主に利用しています。」

セキュリティソリューションの改ざん

Microsoft Threat IntelligenceはStorm-1175キャンペーンの他の側面を詳しく説明しており、横展開のためのリモート監視・管理（RMM）ソフトウェアの使用、Impacketによる認証情報ダンプ、およびデータ流出のためのコマンドラインツールRcloneが含まれています。

ソフトウェアの大手が強調した注目すべき手法の1つは、セキュリティソリューション、つまりMicrosoft Defender Antivirusを改ざんするグループの能力です。ブログ記事は、脅威行為者がプログラムの設定をWindowsのレジストリに格納されているものを改変し、Medusaペイロードの実行を許可することを指摘しました。 

Microsoftは、このような改ざんは攻撃者が最初に高度な権限を持つアカウントへのアクセスを取得することを必要とすることに注目しました。これはStorm-1175の攻撃チェーンの認証情報ダンプフェーズを非常に重要にしています。「このため、通常は環境内のアクティブな攻撃者を示す認証情報盗難活動に関連するアラートを優先することは、ランサムウェア信号への対応と攻撃者が権限を持つアカウントアクセスを獲得することを防ぐために不可欠です」とMicrosoft Threat Intelligenceはブログ記事に書きました。 

DeGrippoは、改ざん活動はセキュリティプログラムがターゲットシステムのCドライブをスキャンすることを防ぎ、Medusaペイロードがアラートなしで実行されることを許可していると述べています。脅威を緩和するため、組織はWindows Defender Antivirusの改ざん保護機能をテナント全体で有効にし、「DisableLocalAdminMerge」設定を利用する必要があります。これは脅威行為者がローカル管理者権限を使用してアンチウイルス除外を設定することを防ぎます。

さらに、Microsoftは組織にWeb関連システムをパブリックインターネットから分離し、公開でアクセス可能である必要があるサーバをWeb アプリケーションファイアウォール、プロキシサーバ、またはDMZの背後に配置することを推奨しました。同社はまた、プロセスメモリに保存されている認証情報を保護するセキュリティ機能であるWindowsのCredential Guardを実装することを顧客に促しました。