微軟確認 Medusa 勒索軟件攻擊中使用了 GoAnywhere 漏洞

微軟本週證實，Fortra 的 GoAnywhere 託管文件傳輸 (MFT) 軟件中新發現的零日漏洞已成為 Medusa 勒索軟件攻擊者的最新目標。

該缺陷 CVE-2025-10035 的 CVSS 分數最高為 10.0，源於 GoAnywhere MFT 的許可證 Servlet 管理控制台版本高達 7.8.3 中的反序列化缺陷。它允許攻擊者在未修補的服務器上遠程執行任意代碼——甚至在某些情況下無需身份驗證——使其成為勒索軟件運營商的主要目標。

據微軟威脅情報稱，一個名為 Storm-1175（Medusa 勒索軟件附屬公司）的網絡犯罪組織早在 2025 年 9 月 11 日就開始利用該漏洞，比供應商 Fortra 於 2025 年 9 月 18 日發布補丁的時間早了近一周。

WatchTowr Labs 的安全研究人員後來證實，該漏洞已被用作零日漏洞，在補丁發布之前危害了多個組織。

“Microsoft Defender 研究人員發現多個組織中的利用活動與 Storm-1175 的策略、技術和程序 (TTP) 一致，”Microsoft在其諮詢中表示同時確認 WatchTowr Labs 的報告。

攻擊鏈內部（從漏洞利用到加密）

開發活動遵循以前的美杜莎行動中常見的多階段模式：

1. 初始訪問– Storm-1175 利用 GoAnywhere 反序列化缺陷侵入公司係統。
2. 堅持– 該組織安裝了 SimpleHelp 和 MeshAgent 等遠程監控和管理 (RMM) 工具來保持控制，通常將它們隱藏在 GoAnywhere 自己的進程目錄中。
3. 後利用– 入侵者在 GoAnywhere MFT 目錄中部署 .jsp 文件，運行網絡掃描，並執行用戶和系統偵察。
4. 網絡發現– 攻擊者使用Netscan掃描網絡並進行用戶偵察。
5. 橫向運動– 攻擊者使用 Microsoft 的遠程桌面連接 (exe) 在受感染網絡內跨系統移動。
6. 命令與控制 (C2)：設置 Cloudflare 隧道以實現安全 C2 通信。
7. 滲漏– 最後，他們使用 Rclone 竊取數據，然後部署 Medusa 勒索軟件、加密系統並要求付款。

在至少一個已確認的案例中，微軟觀察到攻擊者建立控制後部署了完整的 Medusa 勒索軟件負載。

Fortra 受到攻擊

安全專家批評 Fortra 在 2025 年 9 月 18 日悄悄發布補丁，沒有警告用戶該漏洞正在被積極利用。

WatchTowr Labs 首席執行官本傑明·哈里斯 (Benjamin Harris) 表示，微軟的調查結果“證實了我們所擔心的事情。至少從 9 月 11 日起，運行 GoAnywhere MFT 的組織實際上一直受到無聲攻擊，而 Fortra 幾乎沒有透露任何情況。”他呼籲透明度，詢問攻擊者如何獲得利用該漏洞所需的密鑰。

Shadowserver 基金會報告稱，超過 500 個 GoAnywhere MFT 實例仍然暴露在網上，但尚不清楚有多少個實例已被修補。

用戶應該做什麼

Microsoft 和 Fortra 敦促所有客戶立即升級到最新版本，並檢查其係統是否存在受到損害的跡象，尤其是日誌中包含“SignedObject.getObject”的錯誤。

微軟還建議：

• 限制對 GoAnywhere 管理控制台的外部訪問。
• 在塊模式下運行端點檢測和響應 (EDR) 工具。
• 啟用攻擊面減少規則以防止勒索軟件策略。

Fortra 強調，雖然補丁修復了該缺陷，但它並不能消除之前的違規行為，並敦促組織進行取證審查。

底線

使用 GoAnywhere MFT 的組織應立即修補、鎖定互聯網訪問並檢查是否有任何妥協跡象。 Medusa 組織的活動清楚地提醒我們，如果沒有得到適當的保護，即使是值得信賴的企業工具也可能成為大規模勒索軟件攻擊的門戶。

另請閱讀：微軟確認 Windows 11 在 OOBE 期間需要 Microsoft 帳戶和互聯網（已測試）