**Microsoft**は、中国のサイバー犯罪グループである**Storm-1175**が、高速な攻撃で**Medusa**ランサムウェアを配信するために、既知およびゼロデイの脆弱性を積極的に悪用していることについて警告を発しました。 ### 脆弱性の迅速な悪用 このサイバー犯罪ギャングは、新しいセキュリティ脆弱性を迅速に特定し、標的とする驚異的な能力を示しており、驚くべき速さで被害者ネットワークへのアクセスを獲得しています。一部のケースでは、パッチが利用可能になる1週間前に脆弱性を悪用し、わずか1日でエクスプロイトを武器化しています。 「Storm-1175は、初期アクセスからデータ窃取、Medusaランサムウェアの展開まで、数日以内、場合によっては24時間以内に迅速に移行します」と**Microsoft**は最近のセキュリティブログ投稿で述べています。  彼らの運用テンポと、露出したペリメーター資産を特定する能力は成功を収めています。最近の侵入は、オーストラリア、英国、米国全土のヘルスケア、教育、専門サービス、金融セクターに大きな影響を与えています。 ### 攻撃チェーンと永続化 **Microsoft**は、**Storm-1175**オペレーターが複数のエクスプロイトを連鎖させて、侵害されたシステムでの永続化を確立していることを確認しています。これには、新しいユーザーアカウントの作成、リモート監視および管理（RMM）ソフトウェアの展開、認証情報の窃取、ランサムウェアペイロードを展開する前のセキュリティソフトウェアの無効化が含まれます。  *Storm-1175攻撃チェーン（Microsoft）* ### 注目のエクスプロイト 10月、**Microsoft**は、**Storm-1175**がパッチがリリースされる1週間以上前から、**GoAnywhere** MFTの重大な脆弱性（**CVE-2025-10035**）を**Medusa**ランサムウェア攻撃で悪用していたと報告しました。 **Storm-1175**によって使用されたもう1つの注目すべきゼロデイエクスプロイトは、**SmarterTools**のSmarterMailメールサーバーおよびコラボレーションツールの認証バイパスである**CVE-2026-23760**でした。 **Microsoft**は、同グループの最近の攻撃は進化した開発能力を示しているものの、以前の**GoAnywhere** MFTに対するランサムウェア攻撃者による標的化と、**SmarterMail**脆弱性と以前開示された脆弱性との類似性が、ゼロデイエクスプロイト活動を容易にした可能性があると指摘しました。 ### 広範囲にわたる標的脆弱性 最近のキャンペーンで、**Storm-1175**は10のソフトウェア製品にわたる16以上の脆弱性を悪用しており、これには以下が含まれます。 * **Microsoft Exchange** (**CVE-2023-21529**) * **Papercut** (**CVE-2023-27351** および **CVE-2023-27350**) * **Ivanti Connect Secure** および **Policy Secure** (**CVE-2023-46805** および **CVE-2024-21887**) * **ConnectWise ScreenConnect** (**CVE-2024-1709** および **CVE-2024-1708**) * **JetBrains TeamCity** (**CVE-2024-27198** および **CVE-2024-27199**) * **SimpleHelp** (**CVE-2024-57726**、**CVE-2024-57727**、および **CVE-2024-57728**) * **CrushFTP** (**CVE‑2025‑31161**) * **SmarterMail** (**CVE-2025-52691**) * **BeyondTrust** (**CVE-2026-1731**) ### 過去の警告と関連性 2025年3月、**CISA**、**FBI**、および**MS-ISAC**は共同勧告を発行し、**Medusa**ランサムウェア攻撃が米国全土の300以上の重要インフラ組織に影響を与えていると警告しました。 2024年7月、**Microsoft**は、**Storm-1175**を、他の3つのサイバー犯罪ギャングとともに、**Black Basta**および**Akira**ランサムウェア攻撃と関連付け、これらは**VMware ESXi**の認証バイパスの脆弱性を悪用していました。