Storm-1175として追跡されているサイバー犯罪グループが、Medusaランサムウェア攻撃において、最も深刻なGoAnywhere MFTの脆弱性を約1か月にわたり積極的に悪用しています。
Fortraは9月18日に脆弱性にパッチを適用しましたが、当時は悪用が行われていることには言及しませんでした。しかし、WatchTowr Labsのセキュリティ研究者は、その1週間後に実際に悪用されていると指摘しました。「信頼できる証拠」を受け取り、CVE-2025-10035が9月10日からゼロデイとして利用されていたことが判明したためです。
Medusaランサムウェア攻撃で悪用
本日、MicrosoftはWatchTowr Labsの報告を確認し、同社がStorm-1175として追跡している既知のMedusaランサムウェアのアフィリエイトが、少なくとも2025年9月11日以降、この脆弱性を攻撃で悪用していると述べました。
「Microsoft Defenderの研究者は、Storm-1175に起因する戦術、技術、手順(TTP)と一致する複数の組織での悪用活動を特定しました」とMicrosoftは述べています。
「初期アクセスのために、攻撃者は当時ゼロデイであったGoAnywhere MFTのデシリアライズ脆弱性を悪用しました。永続化を維持するために、SimpleHelpやMeshAgentといったリモート監視・管理(RMM)ツールを悪用しました。」
攻撃の次の段階では、ランサムウェアのアフィリエイトがRMMバイナリを起動し、Netscanを使ってネットワークの偵察を行い、ユーザーやシステムの調査コマンドを実行し、Microsoftリモートデスクトップ接続クライアント(mstsc.exe)を使って侵害されたネットワーク内を横断的に移動しました。
攻撃中、少なくとも1つの被害者環境でRcloneを展開して盗んだファイルを外部に持ち出し、Medusaランサムウェアのペイロードを展開して被害者のファイルを暗号化しました。
3月には、CISAがFBIおよびマルチステート情報共有・分析センター(MS-ISAC)と共同で勧告を発表し、Medusaランサムウェアのオペレーションが米国内の300以上の重要インフラ組織に影響を及ぼしたと警告しました。
さらに、他の3つのサイバー犯罪グループとともに、Storm-1175脅威グループは2024年7月、VMware ESXiの認証バイパス脆弱性を悪用した攻撃にも関与し、AkiraやBlack Bastaランサムウェアの展開につながったとMicrosoftは関連付けています。
GoAnywhere MFTサーバーを標的としたMedusaランサムウェア攻撃から防御するために、MicrosoftおよびFortraは管理者に最新バージョンへのアップグレードを推奨しています。Fortraはまた、SignedObject.getObjectという文字列を含むスタックトレースエラーがログファイルにないか確認し、影響を受けているかどうかを判断するよう顧客に求めています。
