Корпорация Microsoft официально подтвердила использование критической уязвимости в решении GoAnywhere MFT для атак с применением вируса Medusa. Ответственность за кампанию возложена на хакерскую группировку Storm-1175, которая, по данным специалистов Microsoft Defender, атаковала как минимум с 11 сентября 2025 года, применяя эту уязвимость как точку входа в корпоративные инфраструктуры.
Уязвимость, получившая идентификатор CVE-2025-10035, связана с десериализацией недоверенных данных в сервлете лицензирования веб-инструмента GoAnywhere MFT, разработанного компанией Fortra. Эксплуатация происходит удалённо и не требует участия пользователя, что делает её особенно опасной в условиях корпоративных сетей.
Хотя обновлённая версия GoAnywhere MFT была выпущена 18 сентября, компания Fortra изначально не зафиксировала признаков активного применения уязвимости. Лишь спустя неделю команда WatchTowr Labs предоставила доказательства, что CVE-2025-10035 использовалась в реальных атаках задолго до официального патча — начиная с 10 сентября, что позволяет говорить о её применении как об уязвимости нулевого дня.
Исследователи из Microsoft пояснили, что при получении доступа Storm-1175 использовала инструменты удалённого мониторинга и администрирования, включая SimpleHelp и MeshAgent. Дальнейшие действия включали запуск вредоносных двоичных файлов, использование Netscan для разведки сети, выполнение команд с целью выявления пользователей и систем, а также продвижение через скомпрометированную инфраструктуру с помощью клиента mstsc.exe (Microsoft Remote Desktop).
Для извлечения данных злоумышленники, по информации Microsoft, применили инструмент Rclone, а шифрование файлов осуществлялось вредоносной программой Medusa, известной своим агрессивным стилем атак на критические системы.
По оценке Shadowserver Foundation, в открытом доступе находится более 500 инстансов уязвимого GoAnywhere MFT. Пока неизвестно, сколько из них уже защищены. Аналитики отмечают, что масштабы воздействия могут быть значительно шире, чем известно на данный момент.
Напомним, в марте 2025 года Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) в партнёрстве с ФБР и Межгосударственным центром обмена информацией (MS-ISAC) опубликовало совместное предупреждение об угрозе, исходящей от Medusa. Тогда сообщалось, что вирус затронул более 300 организаций, связанных с критической инфраструктурой.