Siber suçlular, Fortra’nın Goanywhere Yönetilen Dosya Aktarımı (MFT) aracında-CVE-2025-10035 olarak izlenen-Medusa Ransomware’i bırakmak için Pazartesi günü açıkladı.
Microsoft’un bir grubuna atfedilen kampanya, fırtına-1175 olarak atfedilen kampanya, dosya transfer altyapısının bir kez daha yüksek etkili saldırılar için nasıl sahneleme alanı haline geldiğini göstermektedir.
Microsoft’a göre, Storm-1175, hedef ağlara ilk erişim elde etmek için güvenlik açığını kullandı. İçeri girdikten sonra, saldırganlar ayrıcalıkları artırmadan ve yanal olarak yayılmadan önce SimpleHelp ve Meshagent gibi uzaktan yönetim araçlarını kullandılar.
Etki şiddetliydi. Sömürüden sonra, rakipler sistem ve kullanıcı keşfi gerçekleştirdiler, uzun vadeli erişimi sürdürdü ve çevreyi fidye yazılımlarını dağıtmaya hazırladı.
Güvenlik açığı nasıl çalıştı
CVE-2025-10035, Goanywhere MFT’nin lisans sunucusunda bulunur ve güvenli olmayan seansizasyon mantığından kaynaklanır. Saldırganlar “geçerli bir lisans tepkisi imzası” oluşturur ve sunucu uygulamasının komut enjeksiyonunu tetikleyerek saldırgan kontrollü nesneleri sazipleştirmesine neden olur. Fortra, kusurunu onayladı ve 7.8.4 sürümleri (ve 7.6.3 sürüm 7.6.3’ü güncelledi) için yayınladı.
Güvenlik araştırmacıları, güvenlik açığının tek başına olmadığını söylüyor. Rapid7, bir erişim kontrol bypass’ı (2023’ten kalma) güvenli olmayan seansizasyon kusuru ve lisans anahtarı yapısıyla ilgili henüz onaylanmamış bir mekanizma ile birleştiren çok aşamalı bir zinciri işaretledi. Sömürü, Goanywhere yönetici konsolunun veya lisans uç noktasının harici olarak erişilebilir olmasını gerektirir.
2023’te Goanywhere platformu, fidye yazılımı operatörleri tarafından silahlandırılan CVE-2023-0669 üzerinden uzlaşmaya maruz kalmıştı ve saldırganların Goanywhere’i değerli bir hedef olarak gördüklerini gösterdi.
Dosya Aktarımından Medusa Fidye Yazılımı Dağıtımına
Saldırganlar bir Goanywhere örneğini ihlal ettikten sonra, genellikle bir dayanak oluşturmak için MFT ortamında gizlenmiş web kabuklarını yüklediler. Microsoft, uzaktan izleme araçlarıyla başlayan yanal hareketi gözlemledi, ardından keşif ve Medusa yüklerinin evrelemesi.
Saldırı zinciri, güvenlik açığının dosyaları doğrudan şifrelemediğini gösterir; Bunun yerine, Medusa kurbanlarının daha sonra seçildiği ve şifrelendiği ağa bir pivot görevi gördü.
Storm-1175, fidye yazılımı ekosisteminde aktiftir ve ilk erişim için halka açık uygulamaları hedeflemekle bilinir. Grubun Goanywhere kullanımı, suçluların yeni sömürü vektörlerinde bilinen araçları nasıl yeniden kullandıklarını göstermektedir. Medusa’nın kendisi bugüne kadar 300’den fazla kritik altyapı organizasyonunu hedef aldı ve kurbanları baskı altına almak için çift genişleme taktikleri ve kamu sızıntısı alanları kullandı.
Bir siber güvenlik tehdidi istihbarat firması olan Cyble’a göre, grup 2025’teki faaliyetlerinde bir önceki yıla göre% 45’lik bir artış gördü.
Ayrıca Oku: Medusa Fidye Yazılımı Dalgalanma: 3 ayda 60 kurban – Sırada mısınız?
Microsoft’un danışmanındaki tespit ipuçları hem ağ hem de ana bilgisayar eserlerine odaklanmıştır. Olay müdahalecileri, yönetici uç noktalarına, WebApp yollarında yeni oluşturulan JSP/WAR dosyalarına, açıklanamayan planlanmış görevler ve olağandışı Java süreç çağrılarına anormal HTTP gönderileri aramaları söylendi. Microsoft, IOCS yayınladı ve MFT Server kullanıcısına bağlı işlem komut satırları ve dosya yazma etkinlikleri için telemetri koleksiyonu önerirken, gözlemlediği belirli webshell dosya adlarını ve karmalarını avlamayı önerdi.