Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Güvenlik Uzmanları Derhal Yama Uygulamayı Öneriyor; Sıfır Gün Saldırıları Geçen Ay Başladı
Mathew J. Schwartz (euroinfosec) •
7 Ekim 2025
Bir fidye yazılımı grubu, geçtiğimiz ay boyunca yaygın olarak kullanılan güvenli yönetilen dosya aktarım yazılımındaki bir güvenlik açığından yararlandı.
Ayrıca bakınız: En Son MITRE ATT&CK Değerlendirmelerine İlişkin Tam Kılavuz
Microsoft’taki tehdit araştırmacıları, hizmet olarak Medusa fidye yazılımı operasyonuna bağlı bir grup bağlı kuruluşun, kripto kilitleyen kötü amaçlı yazılımları açığa çıkarmak için Fortra’nın GoAnywhere MFT’sinin Lisans Sunucu Uygulamasındaki kritik bir güvenlik açığından yararlandığına dair göstergeleri gözlemlediklerini bildirdi.
Fortra, 18 Eylül tarihli bir güvenlik tavsiyesinde, kusurun 11 Eylül’de keşfedildiğini belirterek, CVE-2025-10035 olarak takip edilen seri durumdan çıkarma güvenlik açığının “geçerli bir şekilde sahte lisans yanıt imzasına sahip bir aktörün, aktör tarafından kontrol edilen rastgele bir nesneyi seri durumdan çıkarmasına izin verdiğini ve muhtemelen komut enjeksiyonuna yol açtığını” söyledi.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, CVE-2025-10035’i 29 Eylül’de bilinen istismar edilen güvenlik açıkları listesine ekleyerek, fidye yazılımı kampanyalarında aktif olarak kullanıldığı uyarısını yaptı. CISA, tüm federal sivil kurumlara satıcının azaltıcı önlemlerini uygulamaya koyması veya ürünü kullanmayı bırakması için 20 Ekim’e kadar son tarih belirledi.
MFT yazılımı kullanıcıları, şantajcılar için popüler bir hedef olmaya devam ediyor. MFT’yi hedefleyen veri gaspı kampanyalarında uzmanlaşmış Clop fidye yazılımı grubu, 2023’ün başlarında GoAnywhere’deki sıfır gün güvenlik açığından yararlanarak 100’den fazla kuruluştan veri çaldı.
Microsoft, bu seri durumdan çıkarma güvenlik açığının potansiyel olarak saldırganların komutları enjekte etmesine ve uzaktan kod yürütmesine izin verdiğini söyledi. GoAnywhere’in önceki tüm sürümleri savunmasızdır.
Fortra’nın güvenlik uyarısı, iki temel CVE-2025-10035 azaltma adımını ayrıntılarıyla anlatıyor. Bunlardan ilki, “GoAnywhere Yönetici Konsolu’na erişimin halka açık olmamasını derhal sağlamak”. “Bu güvenlik açığından yararlanılması büyük ölçüde sistemlerin dışarıdan internete maruz kalmasına bağlıdır.”
Satıcı ikinci olarak müşterilere tam yama uygulanmış bir sürüme (en son genel sürüm 7.8.4, Sustain Sürümü ise 7.6.3) yükseltme yapmalarını, aynı zamanda Yönetici Denetim günlüklerini şüpheli etkinliklere karşı ve günlük dosyalarını kötüye kullanım kanıtını işaret eden belirli hatalara karşı dikkatle izlemelerini tavsiye etti.
Microsoft, daha önce kurbanın ağına erişim sağlamak için internet bağlantılı uygulamalardan yararlanan ve daha sonra Medusa fidye yazılımını dağıtan Storm-1175 olarak takip ettiği bir siber suç grubunun bu kusurdan yararlandığını söyledi. Microsoft, “fırtına” terimini “yeni keşfedilen, bilinmeyen, ortaya çıkan veya gelişen bir tehdit faaliyeti kümesinin var olması” için kullanıyor ve genellikle hâlâ geliştirilme aşamasında olduğunu değerlendirdiği bir gruba bağlı.
Microsoft, bir yama yayınlanmadan önce yaygın olarak kullanılan kusurun, saldırganlar tarafından kurbanın ağının tamamen tehlikeye atılmasına yardımcı olmak için kötüye kullanılabileceği konusunda uyardı. “CVE-2025-10035’in etkisi, saldırganların başarılı bir şekilde istismar edilmesinin ardından sistem ve kullanıcı keşfi gerçekleştirebilmesi, uzun vadeli erişimi sürdürebilmesi ve yanal hareket ve kötü amaçlı yazılım için ek araçlar dağıtabilmesi gerçeğiyle daha da artıyor” dedi.
Saldırganlar RMM Araçlarını Bırakıyor
Microsoft, Medusa bağlı kuruluşu örneğinde, saldırganın GoAnywhere MFT’deki sıfır günlük seri durumdan çıkarma güvenlik açığından yararlandığını, meşru uzaktan izleme ve yönetim araçları SimpleHelp ve MeshAgent’ı yük olarak hizmet vermek üzere bıraktığını ve ele geçirilen ağ üzerinde yanal olarak hareket ettiğini belirtti (bkz.: Bilgisayar Korsanları Kötü Amaçlı Yazılım Dağıtmak İçin RMM Araçlarından Yararlanıyor).
Microsoft, “Komuta ve kontrol (C2) için, tehdit aktörü altyapılarını oluşturmak amacıyla RMM araçlarını kullandı ve hatta güvenli C2 iletişimi için bir Cloudflare tüneli kurdu” ve en az bir durumda, verileri bir bulut depolama ortamına sızdırmak için Rclone komut satırı aracını kullandı.
Teknoloji devi, bu kampanyada GoAnywhere kullanan kaç kuruluşun hedef alındığını veya güvenliğinin ihlal edildiğini söylemedi ancak yazılımlarına henüz yama yapmamış kuruluşların risk altında olduğu konusunda uyardı.
FBI Mart ayında, aynı adı taşıyan Rusça konuşan operasyon tarafından sağlanan Medusa fidye yazılımının sağlık, eğitim, teknoloji, üretim, hukuk hizmetleri ve sigorta da dahil olmak üzere kritik altyapı sektörlerindeki 300’den fazla kuruluşa yönelik saldırılarla bağlantılı olduğu konusunda uyarmıştı. Büro, operasyonun sıklıkla üçlü gasp içerdiği konusunda uyardı. Sistemleri şifrelemenin ve veri sızdırma tehdidinin ve şifre çözücü için fidye talep etmenin ya da çalıntı verileri sızdırmayacağına dair söz vermenin ötesinde, operasyonun sıklıkla, ödeme yapıldıktan sonra müzakerecisinin parayı çaldığını iddia ettiğini ve çalışan bir şifre çözücü karşılığında fidyenin yarısının yeni bir ödeme talep ettiğini söyledi.
Güvenlik uzmanları, Medusa’nın son zamanlarda işverenlerinin ağına erişimi kolaylaştıran çalışanlara milyonlarca dolar teklif ettiğini söyledi. Grup, işe alım yapacak kişileri “Sizi emekliye ayırabiliriz” iddiasında bulunuyor.
Araştırmacılar Daha Fazla Ayrıntı İstiyor
Tehdit istihbaratı şirketi watchTowr, CVE-2025-10035’i hedef alan saldırıların 10 Eylül’de başlamış olabileceğini öne süren istihbarat aldığını söyledi ve Fortra’nın müşterilere ilk güvenlik uyarısını yayınlamak için neden 18 Eylül’e kadar beklediğini sorguladı.
Fortra, yorum talebine hemen yanıt vermedi.
WatchTowr, doğada gözlemlenen bir istismarda, saldırganların GoAnywhere MFT’deki seri durumdan çıkarma güvenlik açığından yararlanarak kodu uzaktan yürütmelerine olanak tanıdığını ve bunu, adlandırdıkları yeni bir GoAnywhere kullanıcısı oluşturmak için kullandıklarını söyledi. admin-go yönetici düzeyinde ayrıcalıklara sahip bir arka kapı hesabı olarak hizmet ediyordu. Saldırganlar bu hesabı kullanarak bir web useronlara araca “yasal” erişim sağlıyor ve ardından saldırgan “birden fazla ikincil veriyi” yükleyip çalıştırıyor.
WatchTowr’un CEO’su Benjamin Harris, Fortra’yı, saldırganların bir imza oluşturmak için şirketin imza doğrulama rutinini nasıl atlamayı başardıkları da dahil olmak üzere güvenlik açığıyla ilgili daha fazla ayrıntı sağlamaya çağırdı; araştırmacılarının bunu yeniden oluşturamadığını söyledi. Muhtemelen, “saldırganların gezegendeki her GoAnywhere örneğinin memnuniyetle kabul edeceği kötü amaçlı nesneleri imzalamasına olanak tanıyan” özel anahtarın sızdırıldığını veya muhtemelen satıcının, bir GoAnywhere ürününü etkinleştiren ve yeni bir lisansın imzalanması için otomatik olarak oluşturulan talebe kötü amaçlı bir nesne ekleyen bir saldırganın kurbanı olduğunu söyledi.
Harris, bu teorilerden herhangi biri için “kesinlikle sıfır kanıtımız var” dedi ve bunları “tamamen varsayım” olarak etiketledi, ancak Fortra’dan durumu düzeltmesini istedi.
“Çok yakın gelecekte, etkilenen veya etkilenme potansiyeli olan kuruluşların, vahşi ortamda aktif olarak istismar edilen bir güvenlik açığına maruz kalma durumlarını anlayabilmeleri için paylaşacaklarını umuyoruz” dedi. “Müşteriler sessizliği değil şeffaflığı hak ediyor.”