**Microsoft**の脅威インテリジェンスチームは、**Storm-1175**が公開前のゼロデイ **exploit** を、最近パッチが適用された脆弱性と合わせて初期アクセスを得るために利用していることを報告しています。一部のケースでは、攻撃者はポストコンプロマイズ活動のために **OWASSRF** のような複数の **exploit** を連鎖させています。 ### 高速なデータ流出とランサムウェア展開 足がかりを得ると、金銭目的のサイバー犯罪者は、数日以内、時にはわずか24時間以内に、迅速にデータを流出し、**Medusa**ランサムウェアを展開します。この迅速な展開は、組織が脆弱性を速やかにパッチ適用することの緊急性を浮き彫りにしています。 ### 持続性と回避技術 持続性を維持するために、グループは新しいユーザーアカウントを作成し、Webシェルを展開するか、正規のリモート監視および管理（RMM）ソフトウェアを利用してラテラルムーブメントを行います。また、認証情報の窃盗に従事し、検出を回避するためにセキュリティソリューションに積極的に干渉します。 ### 悪用された脆弱性 2023年以降、**Storm-1175**は以下の16以上の脆弱性の悪用に関連付けられています。 * **CVE-2023-21529** (Microsoft Exchange Server) * **CVE-2023-27351** および **CVE-2023-27350** (**Papercut**) * **CVE-2023-46805** および **CVE-2024-21887** (**Ivanti** Connect Secure および Policy Secure) * **CVE-2024-1708** および **CVE-2024-1709** (**ConnectWise** ScreenConnect) * **CVE-2024-27198** および **CVE-2024-27199** (**JetBrains** TeamCity) * **CVE-2024-57726**、**CVE-2024-57727**、および **CVE-2024-57728** (SimpleHelp) * **CVE-2025-31161** (CrushFTP) * **CVE-2025-10035** (Fortra GoAnywhere MFT) * **CVE-2025-52691** および **CVE-2026-23760** (SmarterTools SmarterMail) * **CVE-2026-1731** (BeyondTrust)  **CVE-2025-10035** および **CVE-2026-23760** は、公開前にゼロデイとして悪用されたと報告されています。また、このグループはLinuxシステムを標的とする傾向も示しており、脆弱な**Oracle** WebLogicインスタンスも含まれますが、使用された具体的な脆弱性は不明です。 ### 推奨事項と緩和策 **Microsoft**は、**Storm-1175**が公開とパッチ提供の間に迅速に **exploit** をローテーションし、多くの組織が保護されていないウィンドウを悪用していると強調しています。観測された主な戦術には以下が含まれます。 * PowerShellやPsExecなどのリビングオフザランドバイナリ（LOLBins）と、ラテラルムーブメントのためのImpacketを利用する。 * ラテラルムーブメントと **Medusa** ランサムウェアを含む **payload** 配達のためにPDQ Deployerを採用する。 * リモートデスクトッププロトコル（RDP）を有効にし、悪意のある **payload** を配信するためにWindowsファイアウォールのポリシーを変更する。 * ImpacketとMimikatzを使用して認証情報のダンプを実行する。 * 検出を回避するために**Microsoft** Defender Antivirusの除外を設定する。 * データ収集と流出のためにBandizipとRcloneを使用する。 AnyDesk、Atera、MeshAgent、**ConnectWise** ScreenConnect、SimpleHelpなどのRMMツールの二重利用インフラストラクチャとしての使用増加は重大な懸念事項です。これは、攻撃者が悪意のあるトラフィックを信頼された暗号化されたプラットフォームに紛れ込ませ、検出の可能性を減らすことを可能にするためです。