🔐 یک باگ حیاتی در ابزار GoAnywhere MFT که توسط شرکت Fortra توسعه داده شده، حالا بهطور فعال در حملات باجافزاری (Ransomware) مورد سوءاستفاده قرار میگیرد.
مایکروسافت اعلام کرده که گروه سایبری موسوم به Storm-1175 — وابسته به عملیات باجافزاری Medusa — از این آسیبپذیری با شناسهی CVE-2025-10035 برای نفوذ به سازمانها استفاده میکند.
🚨 جزئیات آسیبپذیری GoAnywhere MFT
این حفره امنیتی که بالاترین سطح شدت را دارد، ناشی از ضعف در Deserialization of Untrusted Data در ماژول License Servlet است. مهاجم میتواند بدون نیاز به تعامل کاربر و با پیچیدگی پایین، از راه دور سیستم را هدف قرار دهد.
محققان Shadowserver Foundation اعلام کردهاند بیش از ۵۰۰ سرور GoAnywhere MFT در اینترنت در معرض این آسیبپذیری هستند، اگرچه هنوز مشخص نیست چند مورد پچ شدهاند.
نکته مهم اینجاست که با وجود انتشار پچ توسط Fortra در ۱۸ سپتامبر، گزارشها نشان میدهد مهاجمان از ۱۰ سپتامبر از این باگ بهعنوان یک Zero-Day استفاده میکردند.
💣 شروع حملات Medusa
مایکروسافت تأیید کرده است که از ۱۱ سپتامبر ۲۰۲۵ تاکنون، گروه Storm-1175 با سوءاستفاده از این باگ، به سازمانهای متعددی نفوذ کردهاند.
طبق گزارش Microsoft Defender، مهاجمان ابتدا با بهرهبرداری از این آسیبپذیری وارد شبکه قربانی شدهاند و سپس با استفاده از ابزارهای RMM (Remote Monitoring & Management) مانند SimpleHelp و MeshAgent، ماندگاری خود را حفظ کردهاند.
در ادامه حمله، این گروه با اجرای ابزارهایی مانند Netscan برای شناسایی شبکه، اجرای دستورات سیستمی، و حرکت جانبی (Lateral Movement) از طریق mstsc.exe (Remote Desktop Connection) به سیستمهای دیگر نفوذ کردهاند.
علاوه بر این، آنها از ابزار Rclone برای سرقت اطلاعات و سپس از Payload باجافزار Medusa برای رمزگذاری فایلها استفاده کردهاند.
🏢 سابقه Medusa و هشدارها
پیشتر در مارس، CISA، FBI و MS-ISAC در هشدار مشترکی اعلام کرده بودند که عملیات Medusa بیش از ۳۰۰ سازمان زیرساخت حیاتی در آمریکا را هدف قرار داده است.
مایکروسافت همچنین در ژوئیه ۲۰۲۴ گزارش داد که Storm-1175 همراه با سه گروه دیگر، از یک باگ در VMware ESXi برای انتشار باجافزارهای Akira و Black Basta استفاده کردهاند.
🛡️ توصیههای امنیتی
برای جلوگیری از این حملات، مایکروسافت و Fortra از مدیران سیستمها خواستهاند فوراً به آخرین نسخهی GoAnywhere MFT ارتقا دهند.
همچنین، بررسی لاگها برای یافتن ارورهایی حاوی رشتهی SignedObject.getObject میتواند نشانهای از نفوذ احتمالی باشد.
📌 جمعبندی
📉 این حادثه بار دیگر نشان داد که گروههای باجافزاری در کمین آسیبپذیریهای حیاتی هستند و در کوتاهترین زمان ممکن از آنها برای نفوذ، سرقت اطلاعات و رمزگذاری فایلها استفاده میکنند.
اگر از GoAnywhere MFT استفاده میکنید، همین حالا سیستم خود را پچ کنید و لاگها را برای هرگونه فعالیت مشکوک بررسی کنید.
