Удаленный доступ, кража, шифрование. Один 0Day — и сотни серверов GoAnywhere под контролем вымогателей
NewsMakerГруппировка Medusa нашла «золотую жилу» в популярном корпоративном софте.
Группа Storm-1175, связанная с операторами программы-вымогателя Medusa, уже почти месяц использует критическую уязвимость в системе GoAnywhere MFT для атак на корпоративные сети. Уязвимость с идентификатором CVE-2025-10035 затрагивает веб-инструмент Fortra для защищённого обмена файлами и связана с ошибкой десериализации неподтверждённых данных в компоненте License Servlet. Эксплуатация уязвимости возможна дистанционно, без участия пользователя и с минимальной сложностью.
По данным Shadowserver Foundation, в интернете открыто более 500 экземпляров GoAnywhere MFT, и пока неясно, сколько из них уже обновлены. Хотя Fortra выпустила исправление 18 сентября, признаков активной эксплуатации тогда официально не было. Однако спустя неделю специалисты WatchTowr Labs сообщили , что уязвимость использовалась как нулевой день минимум с 10 сентября, когда получили достоверные подтверждения атак.
Позже Microsoft подтвердила выводы WatchTowr: злоумышленники из Storm-1175 применяли эксплойт с 11 сентября для первичного проникновения в инфраструктуру. Исследователи компании зафиксировали активность, совпадающую с известными приёмами этой группировки. Для закрепления в системах атакующие использовали инструменты удалённого администрирования SimpleHelp и MeshAgent, а затем запускали сканирование сети через Netscan, выполняли команды для сбора информации о пользователях и узлах и распространялись по внутренним системам с помощью клиента Microsoft Remote Desktop (mstsc.exe).
После перемещения по сети злоумышленники устанавливали утилиту Rclone для вывода данных и развёртывали полезную нагрузку Medusa, шифруя содержимое систем жертв.
Ранее, в марте, CISA совместно с ФБР и MS-ISAC предупреждали, что операции Medusa уже затронули более 300 объектов критической инфраструктуры США. А в июле 2024-го Microsoft связывала Storm-1175 с кампаниями, где через уязвимость обхода аутентификации VMware ESXi распространялись программы Akira и Black Basta. Microsoft и Fortra рекомендуют администраторам немедленно обновить GoAnywhere MFT до актуальной версии и проверить журналы на наличие ошибок со строкой SignedObject.getObject — она указывает на попытки эксплуатации.
Группа Storm-1175, связанная с операторами программы-вымогателя Medusa, уже почти месяц использует критическую уязвимость в системе GoAnywhere MFT для атак на корпоративные сети. Уязвимость с идентификатором CVE-2025-10035 затрагивает веб-инструмент Fortra для защищённого обмена файлами и связана с ошибкой десериализации неподтверждённых данных в компоненте License Servlet. Эксплуатация уязвимости возможна дистанционно, без участия пользователя и с минимальной сложностью.
По данным Shadowserver Foundation, в интернете открыто более 500 экземпляров GoAnywhere MFT, и пока неясно, сколько из них уже обновлены. Хотя Fortra выпустила исправление 18 сентября, признаков активной эксплуатации тогда официально не было. Однако спустя неделю специалисты WatchTowr Labs сообщили , что уязвимость использовалась как нулевой день минимум с 10 сентября, когда получили достоверные подтверждения атак.
Позже Microsoft подтвердила выводы WatchTowr: злоумышленники из Storm-1175 применяли эксплойт с 11 сентября для первичного проникновения в инфраструктуру. Исследователи компании зафиксировали активность, совпадающую с известными приёмами этой группировки. Для закрепления в системах атакующие использовали инструменты удалённого администрирования SimpleHelp и MeshAgent, а затем запускали сканирование сети через Netscan, выполняли команды для сбора информации о пользователях и узлах и распространялись по внутренним системам с помощью клиента Microsoft Remote Desktop (mstsc.exe).
После перемещения по сети злоумышленники устанавливали утилиту Rclone для вывода данных и развёртывали полезную нагрузку Medusa, шифруя содержимое систем жертв.
Ранее, в марте, CISA совместно с ФБР и MS-ISAC предупреждали, что операции Medusa уже затронули более 300 объектов критической инфраструктуры США. А в июле 2024-го Microsoft связывала Storm-1175 с кампаниями, где через уязвимость обхода аутентификации VMware ESXi распространялись программы Akira и Black Basta. Microsoft и Fortra рекомендуют администраторам немедленно обновить GoAnywhere MFT до актуальной версии и проверить журналы на наличие ошибок со строкой SignedObject.getObject — она указывает на попытки эксплуатации.