Microsoft Threat Intelligence сообщила, что киберпреступная группировка, отслеживаемая как Storm-1175, использовала уязвимость максимального уровня опасности в GoAnywhere MFT для запуска многоэтапных атак, включая программы-вымогатели. Исследователи зафиксировали вредоносную активность 11 сентября, сообщила Microsoft в своем блоге в понедельник.
Исследование Microsoft добавляет еще одну весомую часть доказательств в растущую коллекцию разведывательных данных, подтверждающих, что дефект в службе передачи файлов Fortra был использован в качестве уязвимости нулевого дня до того, как компания раскрыла и исправила уязвимость CVE-2025-10035 18 сентября.
Несмотря на растущий массив доказательств, Fortra пока не подтвердила, что уязвимость активно эксплуатируется. Компания не ответила на вопросы и не предоставила дополнительной информации с момента обновления рекомендаций по безопасности 18 сентября, включив в них индикаторы компрометации.
По данным Microsoft, киберпреступная группировка Storm-1175, известная тем, что использует уязвимости общественности для получения доступа и внедрения вируса-вымогателя Medusa, использовала уязвимость CVE-2025-10035 для удаленного выполнения кода.
«Они использовали этот доступ для установки инструментов удалённого мониторинга, таких как SimpleHelp и MeshAgent, веб-шеллов и горизонтального перемещения по сетям с помощью встроенных утилит Windows», — сообщил CyberScoop в электронном письме Шеррод ДеГриппо, директор по стратегии анализа угроз в Microsoft. «Как минимум в одном случае вторжение привело к краже данных через Rclone и развертыванию вируса-вымогателя Medusa».
Выводы Microsoft подкрепляют исследования других компаний, включая watchTowr, которая заявила, что получила достоверные доказательства активной эксплуатации уязвимости GoAnywhere, начиная с 10 сентября, за день до того, как, по утверждению Fortra, уязвимость была обнаружена.
«Microsoft теперь связала атаки с известным партнёром Medusa, занимающимся вирусом-вымогателем, что подтвердило наши опасения. Организации, использующие GoAnywhere MFT, фактически подвергаются скрытым атакам как минимум с 11 сентября, при этом Fortra не даёт никакой ясности в этом вопросе», — заявил Бен Харрис, основатель и генеральный директор watchTowr.
«Подтверждение Microsoft рисует довольно неприятную картину: эксплуатация уязвимости, установление авторства и месячная фора для злоумышленников. Пока что нет ответов, которые может дать только Fortra», — добавил Харрис.
Это включает в себя сведения о том, как злоумышленники получили доступ к закрытым ключам, необходимым для эксплуатации уязвимости, что исследователи из нескольких компаний в прошлом месяце отметили как тревожный сигнал. «Клиенты заслуживают прозрачности, а не молчания», — сказал Харрис.
Федеральные кибервласти также подтвердили активную эксплуатацию уязвимости GoAnywhere. 29 сентября Агентство кибербезопасности и безопасности инфраструктуры добавило уязвимость CVE-2025-10035 в свой каталог известных эксплуатируемых уязвимостей , отметив, что эта уязвимость использовалась в кампаниях по вымогательству.
ДеГриппо заявила, что атаки Storm-1175 носят оппортунистический характер и затронули организации в сфере транспорта, образования, розничной торговли, страхования и производства. «Их тактика отражает более общую тенденцию, которую мы наблюдаем: сочетание легитимных инструментов со скрытными методами, чтобы оставаться незамеченными и монетизировать доступ посредством вымогательства и кражи данных», — добавила она.
Исследователи не сообщают, сколько организаций пострадали от атак GoAnywhere, но клиенты Fortra уже сталкивались с этим, когда два года назад уязвимость нулевого дня в том же сервисе передачи файлов широко эксплуатировалась, что привело к атакам на более чем 100 организаций.
Исследование Microsoft добавляет еще одну весомую часть доказательств в растущую коллекцию разведывательных данных, подтверждающих, что дефект в службе передачи файлов Fortra был использован в качестве уязвимости нулевого дня до того, как компания раскрыла и исправила уязвимость CVE-2025-10035 18 сентября.
Несмотря на растущий массив доказательств, Fortra пока не подтвердила, что уязвимость активно эксплуатируется. Компания не ответила на вопросы и не предоставила дополнительной информации с момента обновления рекомендаций по безопасности 18 сентября, включив в них индикаторы компрометации.
По данным Microsoft, киберпреступная группировка Storm-1175, известная тем, что использует уязвимости общественности для получения доступа и внедрения вируса-вымогателя Medusa, использовала уязвимость CVE-2025-10035 для удаленного выполнения кода.
«Они использовали этот доступ для установки инструментов удалённого мониторинга, таких как SimpleHelp и MeshAgent, веб-шеллов и горизонтального перемещения по сетям с помощью встроенных утилит Windows», — сообщил CyberScoop в электронном письме Шеррод ДеГриппо, директор по стратегии анализа угроз в Microsoft. «Как минимум в одном случае вторжение привело к краже данных через Rclone и развертыванию вируса-вымогателя Medusa».
Выводы Microsoft подкрепляют исследования других компаний, включая watchTowr, которая заявила, что получила достоверные доказательства активной эксплуатации уязвимости GoAnywhere, начиная с 10 сентября, за день до того, как, по утверждению Fortra, уязвимость была обнаружена.
«Microsoft теперь связала атаки с известным партнёром Medusa, занимающимся вирусом-вымогателем, что подтвердило наши опасения. Организации, использующие GoAnywhere MFT, фактически подвергаются скрытым атакам как минимум с 11 сентября, при этом Fortra не даёт никакой ясности в этом вопросе», — заявил Бен Харрис, основатель и генеральный директор watchTowr.
«Подтверждение Microsoft рисует довольно неприятную картину: эксплуатация уязвимости, установление авторства и месячная фора для злоумышленников. Пока что нет ответов, которые может дать только Fortra», — добавил Харрис.
Это включает в себя сведения о том, как злоумышленники получили доступ к закрытым ключам, необходимым для эксплуатации уязвимости, что исследователи из нескольких компаний в прошлом месяце отметили как тревожный сигнал. «Клиенты заслуживают прозрачности, а не молчания», — сказал Харрис.
Федеральные кибервласти также подтвердили активную эксплуатацию уязвимости GoAnywhere. 29 сентября Агентство кибербезопасности и безопасности инфраструктуры добавило уязвимость CVE-2025-10035 в свой каталог известных эксплуатируемых уязвимостей , отметив, что эта уязвимость использовалась в кампаниях по вымогательству.
ДеГриппо заявила, что атаки Storm-1175 носят оппортунистический характер и затронули организации в сфере транспорта, образования, розничной торговли, страхования и производства. «Их тактика отражает более общую тенденцию, которую мы наблюдаем: сочетание легитимных инструментов со скрытными методами, чтобы оставаться незамеченными и монетизировать доступ посредством вымогательства и кражи данных», — добавила она.
Исследователи не сообщают, сколько организаций пострадали от атак GoAnywhere, но клиенты Fortra уже сталкивались с этим, когда два года назад уязвимость нулевого дня в том же сервисе передачи файлов широко эксплуатировалась, что привело к атакам на более чем 100 организаций.
