Fortra ، الشركة المصنعة للاستخدام على نطاق واسع Goanywhere أداة نقل الملفات المدارة (MFT) ، لديها مرة أخرى وجدت نفسها في وسط عاصفة إلكترونية تجمع بعد أن حذرت Microsoft من أنها تتتبع استغلالًا جماعيًا للضعف المرقعة مؤخرًا من قبل شركة تابعة لفدية الفدية.
CVE-2025-10035 هو عيب هجر نقدي – يحمل درجة CVSS 10.0 – في Servlet ترخيص Goanywhere MFT. ترك دون معالجة ، فإنه يتيح ممثل التهديد الذي حصل على توقيع استجابة ترخيص مزورة بشكل صحيح لإلغاء تخصيص كائن تعسفي يسيطر عليه الممثل.
تشير التقارير المبكرة إلى أن المهاجم لا يحتاج إلى المصادقة إذا كان بإمكانهم صياغة أو اعتراض استجابة ترخيص صالحة ، مما يجعل مثيلات معرضة للإنترنت من GOANY في مكان معرضة للخطر بشكل خاص. في نهاية المطاف ، يمكن أن يؤدي الاستغلال إلى حقن الأوامر وتنفيذ الكود البعيد.
أصدرت Fortra استشاريها الخاص ، وتصحيح، في 18 سبتمبر ، ولكن الآن ، ما يقرب من ثلاثة أسابيع على الخط ، قالت Microsoft إنها لاحظت ممثلًا إجراميًا إلكترونيًا يعرّفه باسم Storm-1175-المعروف باستخدامه لمودوسا رانسومواري-باستغلال عيب فورترا.
“حدد باحثو Microsoft Defender نشاط الاستغلال في منظمات متعددة تتماشى مع التكتيكات والتقنيات والإجراءات المنسوبة إلى Storm-1175″ ، ” قال فريق Microsoft. “لوحظ النشاط ذي الصلة في 11 سبتمبر 2025.”
قالت Microsoft إنها حددت سلسلة هجوم متعددة المراحل تم فيها استغلال اليوم الأصلي صفرًا بالطريقة المفصلة بالفعل ، وبعد ذلك أساءت العصابة أدوات المراقبة والإدارة عن بعد Simplehelp و Meshagent للحفاظ على الثبات.
ثم قامت Storm-1175 بتشغيل أوامر اكتشاف المستخدم والنظام وأدوات تم نشرها مثل NetScan لاكتشاف الشبكة ، قبل استخدام MSTSC.Exe لإجراء حركة جانبية. يتم تحقيق القيادة والتحكم باستخدام أدوات RMM ، وقد استخدمت العصابة نفق CloudFlare للاتصالات الآمنة. وقد شوهد استخدام RCLON في مثيل واحد على الأقل من عمليات ترشيح البيانات ، تليها نشر Medusa Ransomware.
وقال كبير مسؤولي أمن المعلومات في Knowbe4 إن Javvad Malik قال إن CVE-2015-10035 يبرر الاهتمام الفوري. وقال: “عندما تتلقى بوابة نقل الملفات المدارة تصنيف CVSS 10 ، يجب معاملتها كخطر تشغيلي فوري”.
“يمكن لأي ضعف معرض للإنترنت أن يمكّن الوصول غير المصرح به ، والتقدم السريع إلى الفدية. في حين أن النصيحة المعتادة المتمثلة في التصحيح في الوقت المناسب مهمة وتظل صحيحة ، من المهم النظر في التحديات التشغيلية التي تواجهها العديد من المنظمات وكذلك المهندس المعماري للمرونة.
وقال مالك: “من المهم أيضًا أن تتوافق المؤسسات على الاستجابات الفنية مع استمرارية العمل”. “يشمل ذلك قرارات الإزالة المعتمدة مسبقًا وإحاطات أصحاب المصلحة وإشعارات العملاء جاهزة حتى تتمكن من التصرف بشكل حاسم.”
على الرغم من أنه لم يحقق أبدًا سمعة Conti أو Lockbit ، إلا أن Medusa هي تركيبات طويلة الأمد في “المشهد” الفدية ، حيث ظهرت أولاً خلال سنوات الوباء Covid-19 عندما ضربت أهداف متعددة في صناعة الرعاية الصحية الأمريكية خلال عام 2021، باستخدام سحر فيروس كورونافيروس.
في البداية عملية فدية مغلقة ، ميدوسا لاحقًا محوري لنموذج الفدية كخدمة، ومنذ عام 2023 تمكنت من الاستفادة من تعطيل العصابات الأخرى ، بما في ذلك Lockbit. والجدير بالذكر أنه يوفر هيكل عمولة “سخية” ، مع استلام الشركات التابعة ما بين 70 ٪ و 90 ٪ من أخذ.
هذه الشركات التابعة الجديدة قادت زيادة في هجمات ميدوسا في وقت سابق من عام 2025، مع تأثر المملكة المتحدة بشكل غير متناسب – تكشف بيانات نقطة الفحص أنها تمثل 9 ٪ من الضحايا البريطانيين الملحوظين في الربع الأول من عام 2025 ، مقارنة مع 2 ٪ في بقية العالم.
