Удаленный доступ, кража, шифрование. Один 0Day — и сотни серверов GoAnywhere под контролем вымогателей

leer en español

GoAnywhere Fortra Microsoft WatchTowr Labs Shadowserver Foundation Medusa zero-day
Удаленный доступ, кража, шифрование. Один 0Day — и сотни серверов GoAnywhere под контролем вымогателей
GoAnywhere Fortra Microsoft WatchTowr Labs Shadowserver Foundation Medusa zero-day

Группировка Medusa нашла «золотую жилу» в популярном корпоративном софте.

image

Группа Storm-1175, связанная с операторами программы-вымогателя Medusa, уже почти месяц использует критическую уязвимость в системе GoAnywhere MFT для атак на корпоративные сети. Уязвимость с идентификатором CVE-2025-10035 затрагивает веб-инструмент Fortra для защищённого обмена файлами и связана с ошибкой десериализации неподтверждённых данных в компоненте License Servlet. Эксплуатация уязвимости возможна дистанционно, без участия пользователя и с минимальной сложностью.

По данным Shadowserver Foundation, в интернете открыто более 500 экземпляров GoAnywhere MFT, и пока неясно, сколько из них уже обновлены. Хотя Fortra выпустила исправление 18 сентября, признаков активной эксплуатации тогда официально не было. Однако спустя неделю специалисты WatchTowr Labs сообщили, что уязвимость использовалась как нулевой день минимум с 10 сентября, когда получили достоверные подтверждения атак.

Позже Microsoft подтвердила выводы WatchTowr: злоумышленники из Storm-1175 применяли эксплойт с 11 сентября для первичного проникновения в инфраструктуру. Исследователи компании зафиксировали активность, совпадающую с известными приёмами этой группировки. Для закрепления в системах атакующие использовали инструменты удалённого администрирования SimpleHelp и MeshAgent, а затем запускали сканирование сети через Netscan, выполняли команды для сбора информации о пользователях и узлах и распространялись по внутренним системам с помощью клиента Microsoft Remote Desktop (mstsc.exe).

После перемещения по сети злоумышленники устанавливали утилиту Rclone для вывода данных и развёртывали полезную нагрузку Medusa, шифруя содержимое систем жертв.

Ранее, в марте, CISA совместно с ФБР и MS-ISAC предупреждали, что операции Medusa уже затронули более 300 объектов критической инфраструктуры США. А в июле 2024-го Microsoft связывала Storm-1175 с кампаниями, где через уязвимость обхода аутентификации VMware ESXi распространялись программы Akira и Black Basta. Microsoft и Fortra рекомендуют администраторам немедленно обновить GoAnywhere MFT до актуальной версии и проверить журналы на наличие ошибок со строкой SignedObject.getObject — она указывает на попытки эксплуатации.