Storm-1175として追跡されているサイバー犯罪グループは、Medusaランサムウェア攻撃において、最大深刻度のGoAnywhere MFTの脆弱性を約1ヶ月間積極的に悪用しています。
CVE-2025-10035として追跡されているこのセキュリティ上の欠陥は、FortraのWebベースのセキュアな転送GoAnywhere MFTツールに影響し、License Servletにおける信頼されていないデータのデシリアライゼーションの弱点が原因となっています。この脆弱性は、ユーザーの操作を必要としない複雑度の低い攻撃でリモートから悪用される可能性があります。
Shadowserver Foundation のセキュリティ・アナリストは現在、オンラインで公開されている500 以上の GoAnywhere MFT インスタンスを監視しているが、すでにパッチが適用されているインスタンスの数は不明である。
Fortra社は、9月18日にこの脆弱性のアクティブな悪用について言及することなくパッチを適用しましたが、WatchTowr Labsのセキュリティ研究者は、CVE-2025-10035が9月10日以降ゼロデイとして活用されているという「信頼できる証拠」を得た後、1週間後にこの脆弱性が野生で悪用されているとタグ付けしました。
Medusa ランサムウェア攻撃に悪用される
本日、MicrosoftはWatchTowr Labsのレポートを確認し、同社がStorm-1175として追跡している既知のMedusaランサムウェアの関連会社が、少なくとも2025年9月11日以降の攻撃でこの脆弱性を悪用していると発表しました。
「Microsoft Defenderの研究者は、Storm-1175に起因する戦術、技術、手順(TTP)に沿った悪用活動を複数の組織で確認しました。
「最初のアクセスのために、脅威者はGoAnywhere MFTの当時ゼロデイであったデシリアライゼーションの脆弱性を悪用しました。持続性を維持するために、彼らはリモート監視および管理(RMM)ツール、特にSimpleHelpとMeshAgentを悪用しました。
攻撃の次の段階で、ランサムウェアのアフィリエイトはRMMバイナリを起動し、ネットワーク偵察のためにNetscanを利用し、ユーザーとシステムを発見するためのコマンドを実行し、Microsoft Remote Desktop Connectionクライアント(mtsc.exe)を使用して、侵害されたネットワークを通じて複数のシステムに横方向に移動しました。
攻撃中、彼らはまた、少なくとも1つの被害者の環境にRcloneを展開して盗まれたファイルを流出させ、Medusaランサムウェアのペイロードを展開して被害者のファイルを暗号化しました。
3月、CISAはFBIおよびMulti-State Information Sharing and Analysis Center (MS-ISAC)と共同勧告を発表し、Medusaランサムウェアの作戦が全米の300以上の重要インフラ組織に影響を与えたと警告した。
Storm-1175脅威グループは、他の3つのサイバー犯罪組織とともに、2024年7月にマイクロソフトによって、AkiraおよびBlack Bastaランサムウェアの展開につながったVMware ESXi認証バイパスの脆弱性を悪用した攻撃にも関連付けられました。
GoAnywhereのMFTサーバーを狙ったMedusaランサムウェアの攻撃を防御するため、MicrosoftとFortraは管理者に最新バージョンにアップグレードするよう助言した。Fortra社はまた、インスタンスが影響を受けたかどうかを判断するために、SignedObject.getObject文字列を使用したスタックトレースエラーのログファイルを検査するよう顧客に要請した。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
今年のセキュリティ検証イベントPicus BASサミット
Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。
セキュリティ戦略の未来を形作るイベントをお見逃しなく。
Comments