Как критическая уязвимость в GoAnywhere открыла двери для программы-вымогателя Medusa?

В понедельник компания Microsoft официально заявила, что киберпреступная группа Storm-1175 активно использует критическую уязвимость в программном обеспечении GoAnywhere MFT от компании Fortra. Эта цепочка атак применяется для получения первоначального доступа, перемещения по сетям, кражи данных и последующего развертывания программы-вымогателя Medusa.
Как критическая уязвимость в GoAnywhere открыла двери для программы-вымогателя Medusa?
Изображение носит иллюстративный характер

Центром атаки является уязвимость CVE-2025-10035, получившая максимальную оценку опасности по шкале CVSS — 10.0. Этот критический дефект представляет собой ошибку десериализации, которая позволяет злоумышленникам внедрять команды без какой-либо аутентификации, что в конечном итоге приводит к удаленному выполнению кода (RCE) на скомпрометированной системе.

Команда Microsoft Threat Intelligence объясняет механизм эксплуатации следующим образом: «злоумышленник с действительной поддельной подписью ответа лицензии может десериализовать произвольный объект, контролируемый злоумышленником, что потенциально приводит к внедрению команд и удаленному выполнению кода».

За этими атаками стоит группа Storm-1175, отслеживаемая Microsoft как киберпреступная организация. Основная деятельность группы заключается в эксплуатации общедоступных приложений для первоначального доступа к сетям и развертывании программы-вымогателя Medusa. Их активность с использованием данной уязвимости наблюдается как минимум с 11 сентября 2025 года.

После успешной эксплуатации CVE-2025-10035 злоумышленники приступают к разведке системы и пользователей. Для обеспечения долговременного доступа они создают файлы с расширением.jsp в каталогах GoAnywhere MFT. Эти файлы действуют как бэкдоры, позволяя атакующим сохранять контроль над системой.

Для перемещения внутри взломанной сети группа использует стандартный инструмент Windows Remote Desktop Connection (exe). Управление скомпрометированными устройствами и связь с командным центром (C2) осуществляются через загруженные инструменты удаленного мониторинга и управления (RMM), работающие через туннель Cloudflare.

В ходе как минимум одной зафиксированной атаки для эксфильтрации (кражи) данных использовался инструмент Rclone. Конечной целью всей многоступенчатой операции является развертывание шифровальщика Medusa для получения выкупа от жертвы.

Ситуация усугубляется критикой в адрес компании-разработчика Fortra. Бенджамин Харрис, генеральный директор и основатель компании по кибербезопасности watchTowr, заявил, что его команда обнаружила первые признаки активной эксплуатации еще 10 сентября. На прошлой неделе watchTowr публично раскрыла свои выводы, указав на серьезную задержку в информировании клиентов.

Харрис утверждает, что организации, использующие GoAnywhere MFT, находились под «тихой атакой» как минимум с 11 сентября, что дало злоумышленникам «целый месяц форы» при «небольшой ясности со стороны Fortra». Он подчеркнул: «Клиенты заслуживают прозрачности, а не молчания».

Бенджамин Харрис публично задал компании Fortra два ключевых вопроса, которые до сих пор остаются без ответа: как злоумышленники получили закрытые ключи, необходимые для эксплуатации этой уязвимости, и почему организации так долго оставались в неведении относительно активных атак?

Компания Fortra выпустила исправления для устранения уязвимости CVE-2025-10035. Пользователям настоятельно рекомендуется обновиться до защищенных версий программного обеспечения: 7.8.4 или Sustain Release 7.6.3.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка