Pazartesi günü Microsoft, Medusa fidye yazılımlarının konuşlandırılmasını kolaylaştırmak için Fortra Goany Where yazılımında kritik bir güvenlik kusurunun kullanılmasına fırtına-1175 olarak izlediği bir tehdit aktörünü bağladı.
Güvenlik açığı, kimlik doğrulaması olmadan komut enjeksiyonu ile sonuçlanabilecek kritik bir sazizleme hatası olan CVE-2025-10035’tir (CVSS skoru: 10.0). 7.8.4 sürümünde veya 7.6.3 sürümünde ele alınmıştır.
Microsoft Tehdit İstihbarat Ekibi, “Güvenlik açığı, bir tehdit oyuncusunun, muhtemelen komut enjeksiyonuna ve potansiyel uzaktan kod yürütmesine (RCE) yol açan keyfi bir aktör kontrollü nesneyi festivalize etmek için geçerli bir sahte lisans yanıt imzasına izin verebilir.” Dedi.
Teknoloji devine göre, Storm-1175, 11 Eylül 2025’ten bu yana Medusa fidye yazılımını dağıttığı ve ilk erişim için kamuoyuna dönük uygulamalardan yararlanmakla bilinen siber suçlu bir gruptur. WatchTowr’ın geçen hafta en az 10 Eylül’den bu yana kusurun aktif sömürüsünün gösterileri olduğunu belirtmek gerekir.
Ayrıca, CVE-2025-10035’in başarılı bir şekilde kullanılması, saldırganların sistem ve kullanıcı keşfi gerçekleştirmesine, uzun vadeli erişimi sürdürmesine ve yanal hareket ve kötü amaçlı yazılım için ek araçlar dağıtmasına izin verebilir.
İlk erişimi takiben saldırı zinciri, kalıcılığı korumak için SimpleHelp ve Meshagent gibi uzak izleme ve yönetimin (RMM) araçlarının düşmesini gerektirir. Tehdit aktörleri, Goanywhere MFT dizinleri içinde, çoğu zaman bırakılan RMM araçlarıyla aynı zamanda .jsp dosyaları oluşturduğu gözlemlenmiştir.
Bir sonraki aşamada, kullanıcı, ağ ve sistem keşfi komutları yürütülür, bunu ağ boyunca yanal hareket için MSTSC.EXE’den (yani Windows uzak masaüstü bağlantısı) kullanılır.
İndirilen RMM araçları, bir Cloudflare tüneli kullanılarak komut ve kontrol (C2) için kullanılır ve Microsoft, veri açığa çıkması için en az bir kurban ortamında RCLone kullanımını gözlemler. Saldırı nihayetinde Medusa Fidye yazılımı dağıtımının yolunu açar.
Watchtowr CEO’su ve kurucusu Benjamin Harris, “Goanywhere MFT’nin en az 11 Eylül’den beri Sessiz Saldırı altında, Fortra’dan çok az netlikle,” dedi. “Microsoft’un onayı artık oldukça hoş olmayan bir resim çiziyor-sömürü, atıf ve saldırganlar için bir ay süren bir başlangıç.
“Yalnızca Fortra’nın sağlayabileceği cevaplar hala eksik. Tehdit aktörleri bundan yararlanmak için gerekli özel anahtarları nasıl elde ettiler? Kuruluşlar neden bu kadar uzun süre karanlıkta kaldılar? Müşteriler sessizliği değil şeffaflığı hak ediyorlar.