MOVEit Transfer Systems Hit by Wave of Attacks Using Over 100 Unique IPs
2025/06/26 gbhackers — MOVEit Transfer を標的とするスキャン/エクスプロイトの活動の急増により、世界中のサイバー・セキュリティ研究者や企業のセキュリティ対策担当者の間に懸念が生じている。これまでの 90 日間で 、脅威インテリジェンス企業 GreyNoise が検出したのは、MOVEit Transfer システムを標的とする 682 個の IP アドレスである。この Progress Software のファイル共有プラットフォームに対する、 最も積極的な活動は 2025年5月27日に始まり、1日あたりのスキャン活動が 0 件から 100 件以上にまで急増している。
このスキャン活動数は、5月28日までに 319 件にまで増加し、その後も毎日のスキャン量は 200 個から 300 個の間で変動するが高止まりしている。
一連の攻撃インフラは、少数の大手クラウド・プロバイダーに顕著に集中している。すべてのスキャナー IP アドレスの 44% (303件/682件) が、Tencent Cloud に集中しており、最も活発な攻撃元となっている。その他の主要な攻撃者の分布は、Cloudflare (113 IP)/Amazon (94 IP)/Google (34 IP) になる。
この集中度の高さと、単一の ASN (autonomous system number) への集中度の高さは、脅威アクターによるスキャンが、ランダムまたは分散的な偵察の結果ではなく、意図的かつプログラム的に管理されていることを示唆する。
地理的に見ると、スキャナー IP の大部分は米国に所在し、スキャン結果の送信先として挙げられる上位国は、英国/米国/ドイツ/フランス/メキシコとなっている。これらの地域が標的にされていることから、この脅威がグローバルな性質を帯びていること、そして、広範な分野の組織が危険に直面していることが推測できる。
2025年6月12日に GreyNoise は、MOVEit Transfer システムを標的とする小規模なエクスプロイト試行も観測している。これらの試みは、以前に情報が公開されている2つの脆弱性 CVE-2023-34362/CVE-2023-36934 に関連するものだ。
これらの脅威イベントが、ターゲットの検証やエクスプロイトのテストを示唆している可能性があるが、現時点で GreyNoise は、広範なエクスプロイトは検出していない。
しかし、スキャンが強化された期間に試行された、エクスプロイトが浮き彫りにするのは、攻撃者が MOVEit Transfer ユーザーに対して、常に脅威を与えているという現実である。
安全なファイル転送のために、広範な組織で利用されている MOVEit Transfer プラットフォームは、近年においてサイバー犯罪者たちの標的として頻繁に悪用されている。
過去の攻撃ではゼロデイ脆弱性が悪用され、多くの場合において、カスタム Web シェルのインストールなどが行われ、数千の組織と1 億人の個人からの機密データの窃取につながっている。
現時点で発生している大規模なスキャンとエクスプロイトの試みは、 MOVEit Transfer システムの脆弱性を再び探る攻撃者が、新たなデータ侵害キャンペーンの準備を進めていることを示唆している。
セキュリティ専門家たちが推奨するのは、速やかに対策を講じ、組織のシステムを保護することだ。
主な防御策として挙げられるのは、悪意の I Pアドレスや疑わしい IP アドレスの動的なブロック/MOVEit Transfer システムの公開状態に対する監査/CVE-2023-34362 や CVE-2023-36934 といった既知の脆弱性に対するパッチ適用などである。
最新の戦術を駆使する脅威アクターたちは、防御策に応じた戦術の変更や、活動のエスカレーションなどを選択肢として有するため、攻撃者の活動について、継続的に監視する必要があるだろう。
MOVEit Transfer が継続的に標的となっていることは、広範囲使用されているファイル共有ソリューションに依存する組織が直面する、広範な課題が示されている。
攻撃インフラが主要なクラウド・プロバイダーに集中していることで、攻撃の特定と緩和策は複雑化する。また、攻撃のグローバルな広がりは、サイバー・セキュリティ防御における、国際協力の必要性を浮き彫りにしている。
この状況の進展に伴い、GreyNoise などの脅威インテリジェンス・プロバイダーは、防御側における速やかな対応を支援するために、強化された動的 IP ブロック・リストを作成している。
ユーザー組織が求められることは、この持続的かつ進化する脅威の状況に対して警戒を怠らず、ファイル転送システムのセキュリティを優先することである。
MOVEit Transfer を狙うスキャンの増加しているという、とても懸念される状況が報告されています。 以前にも、脆弱性が悪用されたという経緯があるだけに、大規模攻撃の前触れとして捉えるべきと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、MOVEit で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.