Yaygın olarak kullanılan Goanywhere Yönetilen Dosya Aktarımı (MFT) aracının üreticisi olan Fortra, Microsoft’un fidye yazılımı iştiraki tarafından yakın zamanda yamalı bir kırılganlığın kitlesel sömürüsünü izlediği konusunda uyardıktan sonra bir kez daha bir toplama siber fırtınanın merkezinde bulundu.
CVE-2025-10035, Goanywhere MFT lisans sunucusunda 10.0 CVSS puanı taşıyan kritik bir seansalizasyon kusurudur. Adlandırılmamış bırakıldığında, keyfi, aktör kontrollü bir nesneyi festivalize etmek için geçerli bir sahte lisans yanıt imzası elde eden bir tehdit aktörünü sağlar.
İlk raporlar, bir saldırganın geçerli bir lisans tepkisini hazırlayabilir veya engelleyebilecekleri ve Goany’nin özellikle savunmasız olduğu Goany’nin internete maruz kalan örneklerini yapabildikleri takdirde kimlik doğrulaması yapması gerekmediğini göstermektedir. Sonuçta, sömürü komut enjeksiyonuna ve uzaktan kod yürütülmesine yol açabilir.
Fortra, 18 Eylül’de kendi danışmanlığını ve bir yamayı yayınladı, ancak şimdi neredeyse üç hafta boyunca Microsoft, Medusa fidye yazılımını kullanmasıyla bilinen Storm-11175 olarak tanımladığı bir siber suç aktörünü gözlemlediğini söyledi.
Microsoft ekibi, “Microsoft Defender araştırmacıları, Storm-1175’e atfedilen taktikler, teknikler ve prosedürlerle uyumlu birden fazla kuruluşta sömürü faaliyeti tespit etti” dedi. “İlgili faaliyet 11 Eylül 2025’te gözlendi.”
Microsoft, orijinal sıfır günün zaten ayrıntılı olarak kullanıldığı çok aşamalı bir saldırı zincirini belirlediğini, daha sonra çetenin kalıcılığı korumak için SimpleHelp ve Meshagent Uzaktan İzleme ve Yönetim (RMM) araçlarını kötüye kullandığını söyledi.
Storm-1175 daha sonra yanal hareketi yürütmek için mstsc.exe kullanmadan önce, ağ keşfi için Netscan gibi kullanıcı ve sistem keşif komutlarını ve konuşlandırılmış araçları çalıştırdı. Komut ve kontrol RMM araçlarıyla elde edilir ve çete bile güvenli iletişim için bir Cloudflare tüneli kullanmıştır. RCLone kullanımı en az bir veri açığa çıkma örneğinde görüldü, ardından Medusa fidye yazılımının dağıtımı yapıldı.
KnowBe4 Baş Başkan Bilgi Güvenlik Görevlisi Danışmanı Javvad Malik, CVE-2025-10035’in derhal dikkat çektiğini söyledi. “Yönetilen bir dosya aktarım ağ geçidi kritik bir CVSS 10 derecesi aldığında, derhal operasyonel risk olarak ele alınmalıdır” dedi.
“İnternete maruz kalan herhangi bir güvenlik açığı yetkisiz erişim ve fidye yazılımlarına hızlı ilerleme sağlayabilir. Zamanında yamalama konusunda olağan tavsiyeler önemli ve doğru kalsa da, birçok kuruluşun sahip olduğu operasyonel zorlukları dikkate almak ve aynı zamanda esneklik için mimar.
Malik, “Kuruluşların teknik yanıtları iş sürekliliği ile hizalaması da önemli” dedi. “Bu, önceden onaylanmış yayından kaldırma kararları, paydaş brifingleri ve müşteri bildirimlerinin hazır olması için kararlı hareket edebilmeniz için hazır olmalıdır.”
Her ne kadar Conti veya Lockbit’in kötü şöhretine asla ulaşmamış olsa da, Medusa fidye yazılımı “sahnesinde” uzun zamandır devam eden bir fikstürdür, ilk olarak 2021’de ABD sağlık endüstrisinde coronavirus temalı lüreler kullanılarak birden fazla hedefe çarptığı Covid-19 pandemik yıllarda ortaya çıkar.
Başlangıçta kapalı bir fidye yazılımı işlemi olan Medusa, daha sonra bir hizmet olarak fidye yazılımı modeline döndü ve 2023’ten beri Lockbit de dahil olmak üzere diğer çetelerin aksamasından yararlanabildi. Özellikle, bağlı kuruluşların almanın% 70 ila% 90’ını alarak “cömert” bir komisyon yapısı sunmaktadır.
Bu yeni bağlı kuruluşlar, 2025’in başlarında Medusa saldırılarında bir artışa öncülük etti ve İngiltere orantısız olarak etkilendi – kontrol noktası verileri, 2025’in ilk çeyreğinde gözlemlenen İngiliz kurbanlarının% 9’unu, dünyanın geri kalanında% 2’ye kıyasla oluşturduğunu ortaya koyuyor.