- Storm-1175は初期アクセスからランサムウェア展開まで急速に移行
- 複数製品にわたるゼロデイとN-デイを悪用
- 医療、金融、教育、プロフェッショナルサービスを標的
中国語を話すハッカー集団Storm-1175は急速に行動し、初期アクセスから完全なシステム侵害とデータ流出まで数週間で、時には24時間以内に達成していると専門家は警告しています。
マイクロソフトからの新しいレポートによると、このグループは複数の脆弱性、ゼロデイとN-デイの両方を活用していたと主張しています。場合によっては、複数の脆弱性をまとめて使用してより良い結果を得ていました。
レポートによると、Storm-1175は政府支援グループではなく、利益に関心のあるスタンドアロングループです。主に医療組織、教育機関、プロフェッショナルサービスプロバイダー、および金融部門の企業を標的としています。被害者は主に米国、英国、およびオーストラリアに位置しています。
記事は以下に続きます
数十の脆弱性
重要なポイントはこのグループが操作する速度です。「успешした悪用後、Storm-1175は初期アクセスからデータ流出とMedusaランサムウェアの展開まで急速に移行し、多くの場合数日以内、場合によっては24時間以内に実行します」と研究者は述べています。「脅威アクターの高い操作テンポと露出した周辺資産を識別する能力は成功してきました。」
初期アクセスのために、グループはゼロデイとN-デイを切り替えています。ゼロデイの場合、公開開示の1週間前でもバグを悪用しているのが見られ、N-デイの場合は可能な限り早期に悪用を試みており、防御者がパッチと緩和策をデプロイする時間がほとんどありません。
これまで16以上の脆弱性が10製品に影響を与えるものとして識別されています。これらには、Microsoft Exchange(CVE-2023-21529)、Papercut(CVE-2023-27351およびCVE-2023-27350)、Ivanti Connect SecureおよびPolicy Secure(CVE-2023-46805およびCVE-2024-21887)、およびConnectWise ScreenConnect(CVE-2024-1709およびCVE-2024-1708)が含まれます。
その他の注目すべき言及には、JetBrains TeamCity(CVE-2024-27198およびCVE-2024-27199)、SimpleHelp(CVE-2024-57726、CVE-2024-57727、およびCVE-2024-57728)、CrushFTP(CVE‑2025‑31161)、SmarterMail(CVE-2025-52691)、およびBeyondTrust(CVE-2026-1731)のバグが含まれます。
侵入した後、犯人はラテラルムーブメント、永続性、およびステルスを可能にするためにさまざまなツールを展開します。Medusaランサムウェアバリアントを展開する前に、インストールされているアンチウイルスまたはエンドポイント保護ツールを無効化します。
そしてもちろんあなたもTikTokでTechRadarをフォローできます。ニュース、レビュー、ビデオ形式のアンボックス、そしてWhatsAppからも定期的に更新を取得できます。
