Microsoft schreef maandag een dreigingsacteur toe die het volgt als storm-1175 aan de uitbuiting van een kritische beveiligingsfout in Fortra Goanywhere-software om de implementatie van Medusa-ransomware te vergemakkelijken.
De kwetsbaarheid is CVE-2025-10035 (CVSS-score: 10.0), een kritische deserialisatie-bug die kan leiden tot commando-injectie zonder authenticatie. Het werd behandeld in versie 7.8.4 of de Sustain Release 7.6.3.
“De kwetsbaarheid kan een dreigingsacteur met een geldig gesmede licentie-responshandtekening in staat stellen een willekeurig acteur-gecontroleerd object deserialiseren, wat mogelijk leidt tot commando-injectie en potentiële externe externe code-uitvoering (RCE),” zei het Microsoft Threat Intelligence-team.
Volgens de tech-gigant is Storm-1175 een cybercriminele groep die bekend staat om het inzetten van Medusa-ransomware en het benutten van openbare toepassingen voor initiële toegang. De exploitatieactiviteit gerelateerd aan CVE-2025-10035 zou op 11 september 2025 in meerdere organisaties zijn gedetecteerd. Het is vermeldenswaard dat Watchtowr vorige week heeft onthuld dat er aanwijzingen waren voor actieve uitbuiting van de fout sinds minstens 10 september.
Bovendien kan een succesvolle exploitatie van CVE-2025-10035 aanvallers in staat stellen om systeem- en gebruikersontdekking uit te voeren, langetermijntoegang te behouden en extra hulpmiddelen te implementeren voor laterale beweging en malware.
De aanvalsketen na initiële toegang houdt in dat het laten vallen van externe monitoring- en management (RMM) tools, zoals SimpleHelp en Meshagent, om persistentie te behouden. De dreigingsacteurs zijn ook geobserveerd. JSP -bestanden in de Goanywhere MFT -mappen, vaak tegelijk met de gevallen RMM -tools.
In de volgende fase worden opdrachten voor gebruikers-, netwerk- en systeemontdekking uitgevoerd, gevolgd door gebruik te maken van MSTSC.exe (dwz Windows Remote Desktop -verbinding) voor laterale beweging over het netwerk.
De gedownloade RMM-tools worden gebruikt voor command-and-control (C2) met behulp van een CloudFlare-tunnel, waarbij Microsoft het gebruik van RCLone in ten minste één slachtofferomgeving voor gegevensuitbreiding observeert. De aanval maakt uiteindelijk de weg vrij voor de Medusa Ransomware -implementatie.
“Organisaties die Goanywhere MFT runnen, zijn sinds 11 september effectief onder de stilte geweest, met weinig duidelijkheid van Fortra,” zei Wachttowr CEO en oprichter, Benjamin Harris. “De bevestiging van Microsoft schetst nu een behoorlijk onaangenaam beeld-exploitatie, toeschrijving en een maandlange voorsprong voor de aanvallers.
“Wat ontbreekt nog steeds zijn de antwoorden die alleen Fortra kunnen bieden. Hoe hebben bedreigingsactoren de privésleutels gekregen die nodig zijn om dit te benutten? Waarom zijn organisaties zo lang in het donker achtergelaten? Klanten verdienen transparantie, niet stilte. We hopen dat ze in de zeer nabije toekomst zullen delen, zo getroffen of potentieel getroffen organisaties kunnen hun blootstelling begrijpen aan een kwetsbaarheid die actief wordt geëxploiteerd in het wild.”
