قالت مايكروسوفت يوم الإثنين إنها تنسب نشاط استغلال ثغرة أمنية حرجة في برنامج Fortra GoAnywhere إلى جهة تهديد تتعقبها باسم Storm-1175، والتي استخدمت الثغرة لتسهيل نشر فيروسات الفدية من نوع Medusa.
الثغرة المسجلة تحت CVE-2025-10035 (تقييم CVSS: 10.0) هي خلل خطير في عملية إلغاء التسلسل (deserialization) قد يؤدي إلى حقن أوامر دون حاجة للمصادقة. وقد تم معالجتها في الإصدار 7.8.4 أو في إصدار Sustain 7.6.3.
كيفية الاستغلال والأثر المحتمل
أوضحت فرقة استخبارات التهديدات في مايكروسوفت أن الثغرة قد تسمح للمهاجم الذي يمتلك توقيع استجابة ترخيص مزور بصلاحية صحيحة بأن يقوم بإلغاء تسلسل كائن خاضع لسيطرة المهاجم، ما قد يؤدي إلى حقن أوامر وإمكانية تنفيذ تعليمات برمجية عن بُعد.
وفق ما ذكرته الشركة، يُعرف Storm-1175 كمجموعة إجرامية سيبرانية متخصصة في نشر Medusa واستغلال التطبيقات المعروضة على الإنترنت كمداخل أولية. وقد رُصد نشاط استغلال متعلق بهذه الثغرة في مؤسسات متعددة في 11 سبتمبر 2025، في حين أفادت تقارير سابقة بوجود مؤشرات على استغلال نشط منذ 10 سبتمبر على الأقل.
سلسلة الهجوم وتقنيات البقاء والتحرك الجانبي
يسمح الاستغلال الناجح لـ CVE-2025-10035 للمهاجمين بإجراء كشف عن النظام والمستخدمين، والحفاظ على وصول طويل الأمد، ونشر أدوات إضافية للتحرك الجانبي والبرمجيات الخبيثة.
تتضمن سلسلة الهجوم الموضحة إسقاط أدوات إدارة ومراقبة عن بُعد (RMM) مثل SimpleHelp وMeshAgent للحفاظ على الاستمرارية، كما لوحظ إنشاء ملفات .jsp داخل مجلدات GoAnywhere MFT غالبًا بالتزامن مع أدوات RMM الملقاة.
في المراحل التالية تُنفّذ أوامر كشف المستخدم والشبكة والنظام، ويتم استغلال mstsc.exe (اتصال سطح المكتب البعيد في ويندوز) للحركة الجانبية داخل الشبكة.
الاتصالات والتحكم وسرقة البيانات ثم الفدية
تُستخدم أدوات RMM الملقاة لإجراء اتصالات قيادة وتحكم (C2) عبر نفق Cloudflare، مع ملاحظة مايكروسوفت استخدام أدوات مثل Rclone في بيئة ضحية واحدة لأغراض استخراج البيانات. يتهيأ الطريق بعدها لنشر فيروسات Medusa وفرض طلبات فدية على الضحايا.
وصفت watchTowr الوضع بأنه هجوم صامت على مؤسسات تستخدم GoAnywhere منذ 11 سبتمبر، مشيرة إلى قلق بشأن غياب الشفافية من جهة Fortra حول كيفية حصول المهاجمين على المفاتيح الخاصة المطلوبة للاستغلال ولماذا تأخرت المعلومات عن العملاء. وطالبت بتوضيح عاجل لكي تتمكن المؤسسات المتأثرة أو المعرضة للخطر من فهم مدى تعرضها.
