Vào thứ Hai, Microsoft đã xác định nhóm tấn công mà họ theo dõi là Storm-1175 có liên quan đến việc khai thác một lỗ hổng bảo mật nghiêm trọng trong phần mềm Fortra GoAnywhere nhằm tạo điều kiện triển khai ransomware Medusa.
Lỗ hổng này là CVE-2025-10035 (điểm CVSS: 10.0), một lỗi deserialization nghiêm trọng có thể dẫn đến command injection mà không cần xác thực. Nó đã được khắc phục trong phiên bản 7.8.4, hoặc Sustain Release 7.6.3.
“Lỗ hổng này có thể cho phép một tác nhân đe dọa với chữ ký phản hồi giấy phép được giả mạo hợp lệ để deserialize một đối tượng do tác nhân kiểm soát tùy ý, có thể dẫn đến command injection và khả năng remote code execution (RCE),” nhóm Microsoft Threat Intelligence cho biết.
Theo gã khổng lồ công nghệ, Storm-1175 là một nhóm tội phạm mạng nổi tiếng với việc triển khai ransomware Medusa và khai thác các ứng dụng hướng ra bên ngoài để giành quyền truy cập ban đầu kể từ ngày 11 tháng 9 năm 2025. Đáng chú ý là watchTowr đã tiết lộ vào tuần trước rằng có dấu hiệu lỗ hổng này đã bị khai thác tích cực ít nhất từ ngày 10 tháng 9.
Hơn nữa, việc khai thác thành công CVE-2025-10035 có thể cho phép kẻ tấn công thực hiện khám phá hệ thống và người dùng, duy trì quyền truy cập lâu dài, và triển khai các công cụ bổ sung cho lateral movement và malware.
Chuỗi tấn công sau khi giành quyền truy cập ban đầu bao gồm việc thả các công cụ remote monitoring and management (RMM) như SimpleHelp và MeshAgent để duy trì persistence. Các tác nhân đe dọa cũng đã được quan sát tạo các tệp .jsp trong các thư mục GoAnywhere MFT, thường cùng lúc với các công cụ RMM bị thả.
Trong giai đoạn tiếp theo, các lệnh khám phá người dùng, mạng và hệ thống được thực thi, sau đó là tận dụng mstsc.exe (tức là Windows Remote Desktop Connection) để lateral movement trong mạng.
Các công cụ RMM đã tải xuống được sử dụng để command-and-control (C2) thông qua một Cloudflare tunnel, với việc Microsoft quan sát thấy việc sử dụng Rclone trong ít nhất một môi trường nạn nhân để data exfiltration. Cuộc tấn công cuối cùng mở đường cho việc triển khai ransomware Medusa.
“Các tổ chức đang chạy GoAnywhere MFT đã thực sự bị tấn công âm thầm ít nhất từ ngày 11 tháng 9, với rất ít thông tin rõ ràng từ Fortra,” Benjamin Harris, CEO và Founder của watchTowr, cho biết. “Xác nhận của Microsoft hiện vẽ ra một bức tranh khá khó chịu — exploitation, attribution, và một lợi thế dẫn trước cả tháng cho những kẻ tấn công.
Điều còn thiếu là những câu trả lời mà chỉ Fortra mới có thể cung cấp. Làm thế nào các tác nhân đe dọa có được các private key cần thiết để exploit điều này? Tại sao các tổ chức bị bỏ mặc trong bóng tối quá lâu? Khách hàng xứng đáng được minh bạch, không phải sự im lặng. Chúng tôi hy vọng họ sẽ chia sẻ trong tương lai rất gần để các tổ chức bị ảnh hưởng hoặc có khả năng bị ảnh hưởng có thể hiểu rõ mức độ phơi nhiễm của họ đối với một vulnerability đang bị tích cực khai thác trong thực tế.”
