گروه جرایم سایبری Storm-1175، نزدیک به یک ماه است که به طور فعال از آسیبپذیری حیاتی GoAnywhere MFT با شناسه CVE-2025-10035 و امتیاز 10.0 در حملات باجافزار Medusa سوءاستفاده میکند.
این نقص امنیتی ابزار انتقال امن مبتنی بر وب GoAnywhere MFT شرکت Fortra را تحت تأثیر قرار میدهد که ناشی از ضعف سریالزدایی دادههای غیرقابل اعتماد در License Servlet است. این آسیبپذیری میتواند از راه دور در حملات با پیچیدگی کم که نیازی به تعامل کاربر ندارند، مورد سوءاستفاده قرار گیرد. تحلیلگران امنیتی در موسسه Shadowserver درحال حاضر بیش از ۵۰۰ نمونه GoAnywhere MFT را که به صورت آنلاین در معرض دید قرار گرفتهاند، رصد کردند، اگرچه مشخص نیست که چه تعداد از آنها قبلاً وصله شدهاند. در حالی که Fortra این آسیبپذیری را در ۱۸ سپتامبر بدون اشاره به اکسپلویت فعال وصله کرد، محققان امنیتی در WatchTowr Labs یک هفته بعد، پس از دریافت شواهد معتبر مبنی بر سواستفاده از نقص مذکور به عنوان آسیبپذیری روز صفر، آن را به عنوان تحت اکسپلویت در سطح اینترنت برچسبگذاری کردند.
به تازگی مایکروسافت ضمن تایید گزارش WatchTowr Labs اظهار داشت که یک شرکت وابسته به باجافزار Medusa موسوم به Storm-1175، حداقل از ۱۱ سپتامبر ۲۰۲۵ از این آسیبپذیری در حملات سوءاستفاده کرده است. محققان Microsoft Defender فعالیت سوءاستفاده را در چندین سازمان که با تاکتیکها، تکنیکها و پایداری antain همسو بودند، شناسایی کردند. آنها از ابزارهای نظارت و مدیریت از راه دور (RMM)، به ویژه SimpleHelp و MeshAgent سوءاستفاده کردند. در مرحله بعدی حمله، این شرکت وابسته به باجافزار، به اجرای فایلهای باینری RMM، استفاده از Netscan برای شناسایی شبکه، اجرای دستور برای کشف کاربر و سیستم و انتقال به چندین سیستم دیگر از طریق شبکه آسیبپذیر و با استفاده از کلاینت Microsoft Remote Desktop Connection (mtsc.exe) اقدام کرد. مایکروسافت و Fortra به مدیران توصیه کردند که به آخرین نسخهها ارتقا دهند. Fortra همچنین از مشتریان خواست تا فایلهای گزارش خود را برای خطاهای ردیابی پشته با رشته SignedObject.getObject بررسی کنند تا مشخص شود که آیا موارد تحت تأثیر قرار گرفتهاند یا خیر.
https://www.bleepingcomputer.com/news/security/microsoft-critical-goanywhere-bug-exploited-in-ransomware-attacks/
https://thehackernews.com/2025/10/microsoft-links-storm-1175-to.html
