В понедельник компания Microsoft официально заявила, что киберпреступная группа Storm-1175 активно использует критическую уязвимость в программном обеспечении GoAnywhere MFT от компании Fortra. Эта цепочка атак применяется для получения первоначального доступа, перемещения по сетям, кражи данных и последующего развертывания программы-вымогателя Medusa.
Центром атаки является уязвимость CVE-2025-10035, получившая максимальную оценку опасности по шкале CVSS — 10.0. Этот критический дефект представляет собой ошибку десериализации, которая позволяет злоумышленникам внедрять команды без какой-либо аутентификации, что в конечном итоге приводит к удаленному выполнению кода (RCE) на скомпрометированной системе.
Команда Microsoft Threat Intelligence объясняет механизм эксплуатации следующим образом: «злоумышленник с действительной поддельной подписью ответа лицензии может десериализовать произвольный объект, контролируемый злоумышленником, что потенциально приводит к внедрению команд и удаленному выполнению кода».
За этими атаками стоит группа Storm-1175, отслеживаемая Microsoft как киберпреступная организация. Основная деятельность группы заключается в эксплуатации общедоступных приложений для первоначального доступа к сетям и развертывании программы-вымогателя Medusa. Их активность с использованием данной уязвимости наблюдается как минимум с 11 сентября 2025 года.
После успешной эксплуатации CVE-2025-10035 злоумышленники приступают к разведке системы и пользователей. Для обеспечения долговременного доступа они создают файлы с расширением.jsp в каталогах GoAnywhere MFT. Эти файлы действуют как бэкдоры, позволяя атакующим сохранять контроль над системой.
Для перемещения внутри взломанной сети группа использует стандартный инструмент Windows Remote Desktop Connection (
В ходе как минимум одной зафиксированной атаки для эксфильтрации (кражи) данных использовался инструмент Rclone. Конечной целью всей многоступенчатой операции является развертывание шифровальщика Medusa для получения выкупа от жертвы.
Ситуация усугубляется критикой в адрес компании-разработчика Fortra. Бенджамин Харрис, генеральный директор и основатель компании по кибербезопасности watchTowr, заявил, что его команда обнаружила первые признаки активной эксплуатации еще 10 сентября. На прошлой неделе watchTowr публично раскрыла свои выводы, указав на серьезную задержку в информировании клиентов.
Харрис утверждает, что организации, использующие GoAnywhere MFT, находились под «тихой атакой» как минимум с 11 сентября, что дало злоумышленникам «целый месяц форы» при «небольшой ясности со стороны Fortra». Он подчеркнул: «Клиенты заслуживают прозрачности, а не молчания».
Бенджамин Харрис публично задал компании Fortra два ключевых вопроса, которые до сих пор остаются без ответа: как злоумышленники получили закрытые ключи, необходимые для эксплуатации этой уязвимости, и почему организации так долго оставались в неведении относительно активных атак?
Компания Fortra выпустила исправления для устранения уязвимости CVE-2025-10035. Пользователям настоятельно рекомендуется обновиться до защищенных версий программного обеспечения: 7.8.4 или Sustain Release 7.6.3.
Изображение носит иллюстративный характер
Центром атаки является уязвимость CVE-2025-10035, получившая максимальную оценку опасности по шкале CVSS — 10.0. Этот критический дефект представляет собой ошибку десериализации, которая позволяет злоумышленникам внедрять команды без какой-либо аутентификации, что в конечном итоге приводит к удаленному выполнению кода (RCE) на скомпрометированной системе.
Команда Microsoft Threat Intelligence объясняет механизм эксплуатации следующим образом: «злоумышленник с действительной поддельной подписью ответа лицензии может десериализовать произвольный объект, контролируемый злоумышленником, что потенциально приводит к внедрению команд и удаленному выполнению кода».
За этими атаками стоит группа Storm-1175, отслеживаемая Microsoft как киберпреступная организация. Основная деятельность группы заключается в эксплуатации общедоступных приложений для первоначального доступа к сетям и развертывании программы-вымогателя Medusa. Их активность с использованием данной уязвимости наблюдается как минимум с 11 сентября 2025 года.
После успешной эксплуатации CVE-2025-10035 злоумышленники приступают к разведке системы и пользователей. Для обеспечения долговременного доступа они создают файлы с расширением.jsp в каталогах GoAnywhere MFT. Эти файлы действуют как бэкдоры, позволяя атакующим сохранять контроль над системой.
Для перемещения внутри взломанной сети группа использует стандартный инструмент Windows Remote Desktop Connection (
exe). Управление скомпрометированными устройствами и связь с командным центром (C2) осуществляются через загруженные инструменты удаленного мониторинга и управления (RMM), работающие через туннель Cloudflare. В ходе как минимум одной зафиксированной атаки для эксфильтрации (кражи) данных использовался инструмент Rclone. Конечной целью всей многоступенчатой операции является развертывание шифровальщика Medusa для получения выкупа от жертвы.
Ситуация усугубляется критикой в адрес компании-разработчика Fortra. Бенджамин Харрис, генеральный директор и основатель компании по кибербезопасности watchTowr, заявил, что его команда обнаружила первые признаки активной эксплуатации еще 10 сентября. На прошлой неделе watchTowr публично раскрыла свои выводы, указав на серьезную задержку в информировании клиентов.
Харрис утверждает, что организации, использующие GoAnywhere MFT, находились под «тихой атакой» как минимум с 11 сентября, что дало злоумышленникам «целый месяц форы» при «небольшой ясности со стороны Fortra». Он подчеркнул: «Клиенты заслуживают прозрачности, а не молчания».
Бенджамин Харрис публично задал компании Fortra два ключевых вопроса, которые до сих пор остаются без ответа: как злоумышленники получили закрытые ключи, необходимые для эксплуатации этой уязвимости, и почему организации так долго оставались в неведении относительно активных атак?
Компания Fortra выпустила исправления для устранения уязвимости CVE-2025-10035. Пользователям настоятельно рекомендуется обновиться до защищенных версий программного обеспечения: 7.8.4 или Sustain Release 7.6.3.
