18 сентября 2025 года компания Fortra опубликовала рекомендации по безопасности, касающиеся критической уязвимости десериализации в компоненте License Servlet системы управляемой передачи файлов GoAnywhere MFT. Уязвимость, получившая идентификатор CVE-2025-10035 и максимальный балл 10.0 по шкале CVSS, позволяет злоумышленникам с поддельной подписью ответа лицензии выполнить произвольный код на атакуемом сервере.
Описание
По данным исследователей Microsoft Threat Intelligence, уязвимость активно эксплуатируется киберпреступной группировкой Storm-1175, известной по распространению программы-вымогателя Medusa и атакам на общедоступные веб-приложения. Первые случаи эксплуатации были зафиксированы 11 сентября 2025 года, еще до публикации официального исправления.
Технический анализ угрозы
CVE-2025-10035 представляет собой уязвимость десериализации в административной консоли GoAnywhere MFT версий до 7.8.3 включительно. Особенность данной уязвимости заключается в возможности обхода проверки цифровой подписи через создание специально сформированного ответа лицензии. Успешная эксплуатация позволяет злоумышленнику внедрить и выполнить произвольные команды на целевой системе без необходимости аутентификации.
Опасность уязвимости усугубляется тем, что эксплойт не требует предварительной авторизации, если атакующий может перехватить или сгенерировать валидные ответы лицензирования. Это делает уязвимость особенно критичной для экземпляров GoAnywhere MFT, размещенных в интернете.
Многоступенчатая атака Storm-1175
Анализ тактик, техник и процедур группировки Storm-1175 выявил сложный многоэтапный сценарий атаки. На этапе первоначального доступа злоумышленники использовали уязвимость нулевого дня в GoAnywhere MFT. Для обеспечения устойчивого доступа к скомпрометированным системам применялись инструменты удаленного мониторинга и управления, в частности SimpleHelp и MeshAgent. Бинарные файлы этих инструментов размещались непосредственно в каталогах процессов GoAnywhere MFT.
Параллельно с установкой RMM-инструментов наблюдалось создание JSP-файлов в директориях GoAnywhere MFT, что может свидетельствовать о развертывании веб-шеллов. На этапе разведки злоумышленники выполняли команды обнаружения пользователей и систем, а также использовали инструмент netscan для анализа сетевой инфраструктуры.
Перемещение по сети осуществлялось с помощью mstsc.exe, что позволяло атакующим получать доступ к другим системам в скомпрометированной сети. Для организации каналов управления использовались RMM-инструменты, а в отдельных случаях настраивался Cloudflare Tunnel для защищенной коммуникации. На этапе эксфильтрации данных в одной из скомпрометированных сред наблюдалось использование утилиты Rclone.
Кульминацией атаки стало развертывание программы-вымогателя Medusa в одной из скомпрометированных сред.
Индикаторы компрометации
IPv4
- 213.183.63.41
- 31.220.45.120
- 45.11.183.123
SHA256
- 4106c35ff46bb6f2f4a42d63a2b8a619f1e1df72414122ddf6fd1b1a644b3220
- 5ba7de7d5115789b952d9b1c6cff440c9128f438de933ff9044a68fff8496d19
- c7e2632702d0e22598b90ea226d3cde4830455d9232bd8b33ebcb13827e99bc3
- cd5aa589873d777c6e919c4438afe8bceccad6bbe57739e2ccb70b39aee1e8b3
