微软确认 Medusa 勒索软件攻击中使用了 GoAnywhere 漏洞

微软本周证实，Fortra 的 GoAnywhere 托管文件传输 (MFT) 软件中新发现的零日漏洞已成为 Medusa 勒索软件攻击者的最新目标。

该缺陷 CVE-2025-10035 的 CVSS 分数最高为 10.0，源于 GoAnywhere MFT 的许可证 Servlet 管理控制台版本高达 7.8.3 中的反序列化缺陷。它允许攻击者在未修补的服务器上远程执行任意代码——甚至在某些情况下无需身份验证——使其成为勒索软件运营商的主要目标。

据微软威胁情报称，一个名为 Storm-1175（Medusa 勒索软件附属公司）的网络犯罪组织早在 2025 年 9 月 11 日就开始利用该漏洞，比供应商 Fortra 于 2025 年 9 月 18 日发布补丁的时间早了近一周。

WatchTowr Labs 的安全研究人员后来证实，该漏洞已被用作零日漏洞，在补丁发布之前危害了多个组织。

“Microsoft Defender 研究人员发现多个组织中的利用活动与 Storm-1175 的策略、技术和程序 (TTP) 一致，”Microsoft在其咨询中表示同时确认 WatchTowr Labs 的报告。

攻击链内部（从漏洞利用到加密）

开发活动遵循以前的美杜莎行动中常见的多阶段模式：

1. 初始访问– Storm-1175 利用 GoAnywhere 反序列化缺陷侵入公司系统。
2. 坚持– 该组织安装了 SimpleHelp 和 MeshAgent 等远程监控和管理 (RMM) 工具来保持控制，通常将它们隐藏在 GoAnywhere 自己的进程目录中。
3. 后利用– 入侵者在 GoAnywhere MFT 目录中部署 .jsp 文件，运行网络扫描，并执行用户和系统侦察。
4. 网络发现– 攻击者使用Netscan扫描网络并进行用户侦察。
5. 横向运动– 攻击者使用 Microsoft 的远程桌面连接 (exe) 在受感染网络内跨系统移动。
6. 命令与控制 (C2)：设置 Cloudflare 隧道以实现安全 C2 通信。
7. 渗漏– 最后，他们使用 Rclone 窃取数据，然后部署 Medusa 勒索软件、加密系统并要求付款。

在至少一个已确认的案例中，微软观察到攻击者建立控制后部署了完整的 Medusa 勒索软件负载。

Fortra 受到攻击

安全专家批评 Fortra 在 2025 年 9 月 18 日悄悄发布补丁，没有警告用户该漏洞正在被积极利用。

WatchTowr Labs 首席执行官本杰明·哈里斯 (Benjamin Harris) 表示，微软的调查结果“证实了我们所担心的事情。至少从 9 月 11 日起，运行 GoAnywhere MFT 的组织实际上一直受到无声攻击，而 Fortra 几乎没有透露任何情况。”他呼吁透明度，询问攻击者如何获得利用该漏洞所需的密钥。

Shadowserver 基金会报告称，超过 500 个 GoAnywhere MFT 实例仍然暴露在网上，但尚不清楚有多少个实例已被修补。

用户应该做什么

Microsoft 和 Fortra 敦促所有客户立即升级到最新版本，并检查其系统是否存在受到损害的迹象，尤其是日志中包含“SignedObject.getObject”的错误。

微软还建议：

• 限制对 GoAnywhere 管理控制台的外部访问。
• 在块模式下运行端点检测和响应 (EDR) 工具。
• 启用攻击面减少规则以防止勒索软件策略。

Fortra 强调，虽然补丁修复了该缺陷，但它并不能消除之前的违规行为，并敦促组织进行取证审查。

底线

使用 GoAnywhere MFT 的组织应立即修补、锁定互联网访问并检查是否有任何妥协迹象。 Medusa 组织的活动清楚地提醒我们，如果没有得到适当的保护，即使是值得信赖的企业工具也可能成为大规模勒索软件攻击的门户。

另请阅读：微软确认 Windows 11 在 OOBE 期间需要 Microsoft 帐户和互联网（已测试）