Storm-1175 olarak izlenen bir siber suç grubu, yaklaşık bir ay boyunca Medusa fidye yazılımı saldırılarında MFT güvenlik açığının maksimum şiddetini aktif olarak kullanıyor.
CVE-2025-10035 olarak izlenen bu güvenlik kusuru, lisans sunucusunda güvenilmeyen veri zayıflığının seansize edilmesinden kaynaklanan Fortra’nın web tabanlı güvenli aktarım Goanywhere MFT aracını etkiler. Bu güvenlik açığı, kullanıcı etkileşimi gerektirmeyen düşük karmaşık saldırılarda uzaktan sömürülebilir.
Shadowserver Vakfı’ndaki güvenlik analistleri, kaçının zaten yamalandığı belirsiz olmasına rağmen, çevrimiçi olarak 500’den fazla Goanywhere MFT örneğini izliyor.
Fortra, aktif sömürüden bahsetmeden 18 Eylül’de kırılganlığı yamalarken, WatchTowr Labs’taki güvenlik araştırmacıları, bir hafta sonra CVE-2025-10035’in 10 Eylül’den bu yana sıfır gün olarak kullanıldığı “güvenilir kanıtlar” aldıktan sonra vahşi olarak kullanıldığı gibi etiketlediler.
Medusa fidye yazılımı saldırılarında sömürüldü
Bugün Microsoft, WatchTowr Labs’ın raporunu doğruladı ve bilinen bir Medusa fidye yazılımı üyesi, Storm-1175’in en az 11 Eylül 2025’ten beri saldırılardaki bu kırılganlığı kullandığını izlediğini belirtti.
Microsoft, “Microsoft Defender araştırmacıları, Storm-1175’e atfedilen taktiklere, tekniklere ve prosedürlere (TTPS) uyumlu birçok kuruluşta sömürü faaliyeti belirlediler.” Dedi.
“İlk erişim için, tehdit oyuncusu Goanywhere Mft’deki o zamanki terimal gün firalizasyon kırılganlığından yararlandı. Kalıcılığı korumak için, özellikle basit izleme ve yönetim (RMM) araçlarını, özellikle basit ve örgüyü kötüye kullandılar.”
Saldırının bir sonraki aşamasında, fidye yazılımı bağlı kuruluşu RMM ikili dosyalarını başlattı, ağ keşfi için Netscan’ı kullandı, kullanıcı ve sistem keşfi için komutlar yürüttü ve uzlaşmış ağdan Microsoft uzak masaüstü bağlantı istemcisini (mtsc.exe) birden çok sisteme yanal olarak hareket ettirdi.
Saldırı sırasında, çalınan dosyaları dışarı atmak için RCLone’u en az bir kurbanın ortamına yerleştirdiler ve kurbanların dosyalarını şifrelemek için Medusa Fidye yazılımı yüklerini dağıttılar.
Mart ayında CISA, FBI ve Multi-State Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) ile ortak bir danışma belgesi yayınladı ve Medusa Ransomware operasyonunun ABD genelinde 300’den fazla kritik altyapı kuruluşunu etkilediğini söyledi.
Diğer üç siber suç çetesi ile birlikte, Storm-1175 tehdit grubu, Temmuz 2024’te Microsoft tarafından Akira ve Black Basta fidye yazılımlarının dağıtımına yol açan bir VMware ESXI kimlik doğrulama baypası güvenlik açığından yararlanmaya saldırdı.
Medusa fidye yazılımı saldırılarına karşı savunmak için Goanywhere MFT sunucularını hedefleyen Microsoft ve Fortra, yöneticilere en son sürümlere yükseltmelerini tavsiye etti. Fortra ayrıca, örneklerin etkilenip etkilenmediğini belirlemek için SignedObject.GetObject dizesi ile log dosyalarını yığın izleme hataları açısından incelemelerini istedi.
Katılmak İhlal ve Saldırı Simülasyon Zirvesi ve deneyimle Güvenlik doğrulamasının geleceği. Üst düzey uzmanlardan dinleyin ve nasıl olduğunu görün AI ile çalışan BAS ihlal ve saldırı simülasyonunu dönüştürüyor.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın