GoAnywhere MFTは、ファイル転送転送管理製品です。
豊富なセキュリティ設定、詳細な監査証跡、レポーティング機能を提供し、システム間や取引先相手間における多種多様なファイル転送を効率化します。
このGoAnywhere MFTの脆弱性が脅威活動で悪用されてしまっていることが確認されています。
次のように展開されました。
- 入口は脆弱性
初期アクセスとして使われたのは、GoAnywhere MFTのLicense Servletに存在する重大なデシリアライゼーション脆弱性でした。
この脆弱性により、有効に偽造されたライセンスレスポンス署名を持つ脅威アクターが、自身が管理する任意のオブジェクトをデシリアライズできる可能性があり、コマンドインジェクションやリモートコード実行(RCE)に至る可能性があるものです。
今回確認されている例では、Storm-1175として追跡されている脅威アクターがこの脆弱性を悪用した活動を展開しました。 - 持続性確保にはRMM
接続出来たら次は接続の維持です。
この用途にはさまざまなRMM(リモート監視・管理関係製品)が悪用されることがありますが、今回もそうでした。
脅威アクターは侵害に成功した通信を通じ、SimpleHelpとMeshAgentを設置しました。 - 組織内で横展開
侵入し、RMMを使える状態にできると、脅威アクターはその組織内で次々に横移動しました。
ネットワーク偵察にNetscanを利用し、ユーザとシステムを検出するためのOSコマンドを実行し、Microsoftリモートデスクトップ接続クライアント(mtsc.exe)を使用して侵害されたネットワークを介して複数のシステムに飛び移っていきます。 - データの持ち出し
活動できる場所が増えていくに従い、そのそれぞれの場所でデータの持ち出し動作を実施しました。
使用したのはRcloneです。
これは、Google Drive、Amazon S3、Dropboxなどの多数のクラウドストレージサービスに対応したオープンソースのコマンドラインツールです。
異なるクラウドストレージ間でのデータのコピー、同期、バックアップ、移行などを簡単に行うことができ、またローカルストレージとクラウドストレージ間のデータ管理も可能です。 - データの暗号化
持ち出しが完了すると、現地にあるデータは暗号化されました。
暗号化に使用されたのはMedusaランサムウェアです。
脆弱性で接続し、RMMで広がり、データを持ち出して、暗号化を実施する、といった典型的なランサムウェアの流れです。
GoAnywhere MFTの対策済みでリリース済みのパッチを適用していなかったばっかりに、この有様です。
悪いのはだれかと考えればもちろんそれは脅威アクターなのですが、できる安全策を実施していなかった被害者にも残念な点があるといえそうです。
GoAnywhere MFTは広く利用されている製品です。
まだまだこの被害は広がっていってしまうかもしれません。
そして同じことは別の製品でも容易に起こりえるものです。
適切なテンポでのパッチケイデンス、意識して維持していきましょう。
Investigating active exploitation of CVE-2025-10035 GoAnywhere Managed File Transfer vulnerability
https://www.microsoft.com/en-us/security/blog/2025/10/06/investigating-active-exploitation-of-cve-2025-10035-goanywhere-managed-file-transfer-vulnerability/
| この記事をシェア |
|
|---|
