Microsoft atribuyó el lunes a los actores de amenaza que rastrea como Storm-1175 a la explotación de fallas de seguridad críticas en Fortra Goany, donde el software para facilitar el despliegue de ransomware Medusa.
La vulnerabilidad es CVE-2025-10035 (puntaje CVSS: 10.0). Este es un error crítico de igualación DE-3 que puede resultar en la inyección de comandos sin autenticación. Abordado en la versión 7.8.4 o sostener la versión 7.6.3.
«La vulnerabilidad permite a los actores de amenaza con una firma de respuesta de licencia falsificada válida para aflojar cualquier objeto de control del actor, posiblemente conducir a la inyección de comandos y una posible ejecución de código remoto (RCE).
Según los Gigantes de Tech, Storm-1175 es un grupo de delitos cibernéticos conocido por implementar ransomware Medusa desde el 11 de septiembre de 2025 y aprovechar las aplicaciones públicas para el acceso inicial. Cabe señalar que Dotetowr reveló la semana pasada que hay signos de explotación agresiva de fallas desde al menos el 10 de septiembre.
Además, la explotación exitosa de CVE-2025-10035 permite a los atacantes realizar el descubrimiento del sistema y los usuarios, mantener el acceso a largo plazo, el movimiento de implementación y las herramientas de malware adicionales.
La cadena de ataque después del acceso inicial implica eliminar herramientas de monitoreo y gestión remota (RMM), como SimpleHelp y Meshagent para mantener la persistencia. También se ha observado que los actores de amenaza crean archivos .jsp dentro del Goany, donde el directorio MFT, a menudo al mismo tiempo que las herramientas RMM caídas.
La siguiente fase involucra comandos de descubrimiento de usuario, red y sistema que se ejecutan, luego aprovechan MSTSC.exe (es decir, conexión de escritorio remoto de Windows) para el movimiento lateral en toda la red.
La herramienta RMM descargada se usa para el comando y el control (C2) utilizando túneles de CloudFlare, y Microsoft observa el uso de RClone en al menos un entorno de víctimas para la eliminación de datos. Este ataque finalmente allana el camino para el despliegue de ransomware Medusa.
«La organización que dirige MFT en Goanywhere ha sido prácticamente asaltada en silencio desde al menos el 11 de septiembre, con poca claridad de Fortra», dijo Benjamin Harris, CEO y fundador de WatchTowr. “Microsoft confirma que hay imágenes más bien ofensivas de explotación, pertenencias y cabeza de atacante de arranque durante un mes.
«Todavía hay una falta de respuestas que Fortra puede ofrecer.
Source link
