はじめに
Microsoftは、サイバー犯罪グループ「Storm-1175」が、FortraのGoAnywhere MFTにおける最大深刻度の脆弱性(CVE-2025-10035)を悪用し、Medusaランサムウェア攻撃を展開していると警告しました。この脆弱性は、約1ヶ月前から活発に悪用されています。
脆弱性の詳細
このセキュリティ上の欠陥は、FortraのWebベースのセキュア転送ツールであるGoAnywhere MFTに影響を与えます。具体的には、License Servletにおける信頼できないデータのデシリアライゼーションの弱点が原因です。この脆弱性は、ユーザーインタラクションを必要とせず、低複雑度の攻撃でリモートから悪用される可能性があります。
Shadowserver Foundationは現在、オンラインに公開されている500以上のGoAnywhere MFTインスタンスを監視していますが、どれだけが既にパッチ適用されているかは不明です。
悪用と発見の経緯
Fortraは9月18日にこの脆弱性に対するパッチを適用しましたが、その時点では活発な悪用については言及していませんでした。しかし、WatchTowr Labsのセキュリティ研究者たちは、9月10日以降にゼロデイ脆弱性として悪用されていた「信頼できる証拠」を受け、その1週間後に悪用が確認されたと報告しました。
本日、MicrosoftはWatchTowr Labsの報告を裏付け、追跡しているMedusaランサムウェアのアフィリエイトであるStorm-1175が、少なくとも2025年9月11日からこの脆弱性を攻撃に悪用していることを確認しました。
Storm-1175の攻撃手法
Microsoft Defenderの研究者たちは、Storm-1175に帰属する戦術、技術、手順(TTPs)に合致する悪用活動を複数の組織で特定しました。攻撃の段階は以下の通りです。
- 初期アクセス: 当時ゼロデイであったGoAnywhere MFTのデシリアライゼーション脆弱性を悪用。
- 永続化: SimpleHelpやMeshAgentなどのリモート監視・管理(RMM)ツールを悪用。
- ネットワーク偵察: Netscanを使用。
- ユーザーおよびシステム発見: コマンドを実行。
- ラテラルムーブメント: Microsoft Remote Desktop Connectionクライアント(mtsc.exe)を使用して複数のシステムに移動。
- データ窃取: 少なくとも1つの被害環境でRcloneを展開し、盗んだファイルを外部に持ち出し。
- 最終ペイロード: Medusaランサムウェアを展開し、被害者のファイルを暗号化。
MedusaランサムウェアとStorm-1175の過去の活動
今年3月、CISAはFBIおよびMulti-State Information Sharing and Analysis Center(MS-ISAC)と共同で、Medusaランサムウェアの活動が米国の300以上の重要インフラ組織に影響を与えたと警告する共同勧告を発表しました。
Storm-1175は、2024年7月にMicrosoftによって、VMware ESXi認証バイパス脆弱性を悪用し、AkiraおよびBlack Bastaランサムウェアを展開した他の3つのサイバー犯罪グループと関連付けられています。
推奨される対策
MicrosoftとFortraは、GoAnywhere MFTサーバーを標的とするMedusaランサムウェア攻撃から防御するために、管理者に対し最新バージョンへのアップグレードを推奨しています。
Fortraはまた、インスタンスが影響を受けたかどうかを判断するために、ログファイルで「SignedObject.getObject」という文字列を含むスタックトレースエラーを検査するよう顧客に要請しています。