Storm-1175とMedusa ransomware: なぜ重要なのか

Microsoft Threat Intelligence は、金銭目的の脅威アクター Storm-1175 に関する新たな調査結果を公開しました。同アクターは、動きの速い Medusa ransomware キャンペーンを展開しています。防御側にとって最大の懸念はスピードです。このグループはインターネットに公開された Web-facing システムを狙い、悪用から ransomware 展開までを最短 24時間 で実行できます。

IT 部門およびセキュリティ チームにとって、これはインターネット公開資産、遅れたパッチ適用、境界システム全体の可視性不足が、対応可能な時間を極めて短くすることを改めて示しています。

新たなポイント

Microsoft によると、Storm-1175 は 2023 年以降 16 件以上の脆弱性 を悪用しており、公表からパッチ適用までのギャップを狙っています。標的となった技術には以下が含まれます。

• Microsoft Exchange
• Ivanti Connect Secure and Policy Secure
• ConnectWise ScreenConnect
• JetBrains TeamCity
• Papercut
• SimpleHelp
• CrushFTP
• GoAnywhere MFT
• SmarterMail
• BeyondTrust

特筆すべき点として、Microsoft はこのアクターが一部の zero-day exploit も使用していたことを確認しており、一般公開の 1 週間前 に悪用が行われたケースもありました。

攻撃チェーンの仕組み

脆弱な Web-facing 資産を通じて侵入した後、Storm-1175 は通常、次のような手順を取ります。

• web shell またはリモート アクセス用ペイロードで永続化を確立
• 新しいローカル アカウント を作成し、管理者グループに追加
• PowerShell や PsExec などの LOLBins を使用
• RDP で横展開し、場合によってはファイアウォール設定を変更して有効化
• Atera、AnyDesk、ScreenConnect、MeshAgent、SimpleHelp などの RMM tools を活用
• PDQ Deployer や Impacket などのツールでペイロード配信と横展開を実施
• 資格情報を窃取し、セキュリティ制御を改ざんし、データを持ち出し、Medusa ransomware を展開

正規の管理ツールと迅速な実行を組み合わせることで、これらの活動は通常の IT 運用と見分けにくくなります。

IT 管理者への影響

医療、教育、専門サービス、金融 分野の組織が大きな影響を受けており、特に 米国、英国、オーストラリア で顕著です。管理者にとっての主なリスクは次のとおりです。

• インターネット公開システム上の未修正または新たに公表された脆弱性
• 露出した境界資産に対する可視性不足
• 過度に緩い RDP およびファイアウォール設定
• 本番環境における RMM tools の未監視利用

このレポートは、初期侵害の阻止だけでなく、侵害後の挙動を検知する重要性も強調しています。

推奨される次の対応

セキュリティ チームと IT チームは、以下を優先すべきです。

• 露出したシステムに迅速にパッチを適用 する。特に Web-facing アプリケーションを重視
• すべての external attack surface 資産を棚卸しし、継続的に監視
• RMM tool usage を見直し、承認済みのプラットフォームとアカウントに制限
• 不正な 新規管理者アカウント とファイアウォール変更を監査
• PowerShell、PsExec、PDQ Deploy、Impacket の不審な使用を監視
• Defender と関連する検知ルールが有効化され、適切に調整されていることを確認
• offline backups とインシデント対応フローを含む ransomware 復旧計画を検証

Microsoft のガイダンスが示す実務上の現実は明確です。攻撃者が脆弱性を数日、あるいは数時間で weaponize できるのであれば、セキュリティ チームにはより迅速なパッチ適用と、ネットワーク内部での横展開をより強力に検知する体制の両方が必要です。