マイクロソフト脅威インテリジェンスは、Storm-1175として追跡しているサイバー犯罪グループが、GoAnywhere MFTの最大深刻度の脆弱性を悪用し、ランサムウェアを含む多段階攻撃を開始したと発表しました。研究者らは9月11日に悪意のある活動を観測したと、マイクロソフトは月曜日のブログ記事で述べています。
マイクロソフトの調査は、Fortraのファイル転送サービスの欠陥が、同社が公表し、CVE-2025-10035に対して9月18日にパッチを適用する前に、ゼロデイとして悪用されていたことを裏付ける、増え続ける情報のコレクションに新たな重要な証拠を加えています。
このような証拠が増えているにもかかわらず、Fortraは脆弱性が実際に悪用されていることをまだ認めていません。同社は9月18日にセキュリティアドバイザリを更新し、侵害の兆候を含めて以来、質問への回答や追加情報の提供を行っていません。
Storm-1175は、公開された脆弱性を悪用してアクセスを獲得し、Medusaランサムウェアを展開することで知られる金銭目的のサイバー犯罪グループであり、CVE-2025-10035を悪用してリモートコード実行を実現したとマイクロソフトは述べています。
「彼らはこのアクセスを利用して、SimpleHelpやMeshAgentなどのリモート監視ツールをインストールし、ウェブシェルを設置し、Windowsの組み込みユーティリティを使ってネットワーク内を横断移動しました」と、マイクロソフトの脅威インテリジェンス戦略ディレクター、Sherrod DeGrippo氏はCyberScoopへのメールで述べています。「少なくとも1件の事例では、Rcloneによるデータ窃取とMedusaランサムウェアの展開につながりました。」
マイクロソフトの発見は、watchTowrを含む他社の調査結果を補強しています。watchTowrは、GoAnywhereの脆弱性が9月10日、Fortraが脆弱性を発見したと主張する日の前日から実際に悪用されていたという信頼できる証拠を得たと述べています。
「マイクロソフトは今回、攻撃を既知のMedusaランサムウェア関連組織と結び付け、我々が懸念していたことを裏付けました。GoAnywhere MFTを運用している組織は、少なくとも9月11日以降、Fortraからほとんど明確な情報がないまま、密かに攻撃を受けていたことになります」と、watchTowrの創業者兼CEOであるBen Harris氏は述べています。
「マイクロソフトの確認により、現在の状況は非常に厳しいものとなりました――悪用、帰属、そして攻撃者に1か月もの先行を許したこと。今もなお不足しているのは、Fortraだけが提供できる回答です」とHarris氏は付け加えました。
これには、攻撃者が悪用に必要な秘密鍵へどのようにアクセスしたのかという詳細も含まれます。これは先月、複数の企業の研究者が懸念すべき兆候として指摘していました。「顧客は沈黙ではなく透明性を求めています」とHarris氏は述べています。
連邦サイバー当局もGoAnywhereの欠陥が実際に悪用されていることを確認しています。サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は9月29日、CVE-2025-10035を既知の悪用脆弱性カタログに追加し、この欠陥がランサムウェアキャンペーンで使用されていることを指摘しました。
DeGrippo氏によると、Storm-1175の攻撃は機会主義的であり、運輸、教育、小売、保険、製造業などの組織に影響を与えています。「彼らの戦術は、正規ツールと巧妙な手法を組み合わせて検知を逃れ、恐喝やデータ窃取によってアクセスを収益化するという、私たちが見ているより広範な傾向を反映しています」と同氏は付け加えました。
研究者らは、GoAnywhere攻撃による影響を受けた組織の数を明らかにしていませんが、Fortraの顧客は2年前にも同じファイル転送サービスのゼロデイ脆弱性が広範に悪用され、100以上の組織が攻撃を受けた経験があります。
翻訳元: https://cyberscoop.com/microsoft-goanywhere-ransomware-storm-1175/
