07.10.2025
1 хв
571
Компанія Microsoft повідомила, що група Storm-1175 активно експлуатує критичну уразливість у програмі Fortra GoAnywhere (CVE-2025-10035) для розгортання Medusa ransomware. Помилка отримала максимальний рейтинг небезпеки CVSS 10.0 і дозволяє віддалене виконання коду без автентифікації. Це вже один із найсерйозніших інцидентів осені 2025 року.
Уразливість — помилка десеріалізації, що дозволяє зловмиснику підробити підпис ліцензії, завантажити власний об’єкт у систему та виконати довільні команди.
За словами команди Microsoft Threat Intelligence, злочинці отримують початковий доступ через відкриті вебдодатки та одразу впроваджують інструменти RMM, зокрема SimpleHelp і MeshAgent, для закріплення у системі.
Далі вони створюють .jsp-файли у каталогах GoAnywhere, збирають дані про користувачів, систему та мережу, після чого пересуваються мережею через mstsc.exe (Remote Desktop Connection).
Керування відбувається через Cloudflare-тунелі, а для викрадення даних фіксували використання утиліти Rclone. Фінальний етап атаки — розгортання Medusa ransomware.
За оцінкою дослідників watchTowr, активна експлуатація вразливості тривала щонайменше з 10 вересня 2025 року, тобто компанії стали жертвами задовго до офіційного підтвердження. Засновник watchTowr Бенджамін Гарріс зазначив, що “організації були під тихою атакою понад місяць, поки постачальник Fortra мовчав”. Medusa ransomware відома своїми атаками на корпоративні середовища, де використовуються публічні вебінтерфейси та хмарні сервіси.
Група Storm-1175, пов’язана з попередніми кампаніями LAPSUS$ і Scattered Spider, у 2025 році активно зловживає легітимними IT-інструментами для прихованого доступу до корпоративних мереж.
Fortra GoAnywhere MFT — популярне рішення для безпечного обміну файлами, яке часто використовується у великих компаніях та урядових структурах. Раніше аналогічні вразливості вже ставали причиною масштабних інцидентів витоку даних.
Атака на GoAnywhere підтверджує, що навіть програмні рішення для безпеки можуть стати вхідною точкою для зловмисників.
Організаціям слід негайно оновити програму до версії 7.8.4 або 7.6.3, перевірити журнали на підозрілу активність і переконатися, що RMM-інструменти не використовуються без відома адміністраторів. Прозорість і швидка реакція постачальників стають критично важливими для кіберзахисту у 2025 році.
