أكدت شركة مايكروسوفت أن مجموعة الجريمة السيبرانية المعروفة باسم Storm-1175 تستغل ثغرة حرجة في أداة GoAnywhere MFT التابعة لشركة Fortra في تنفيذ هجمات فدية باستخدام برمجية Medusa، منذ مطلع سبتمبر 2025.
نتجت الثغرة، التي تحمل المعرف CVE-2025-10035، عن خلل في عملية فك تسلسل بيانات غير موثوقة داخل مكون License Servlet في GoAnywhere يتيح للمهاجمين تنفيذ أوامر عن بعد دون الحاجة إلى تفاعل المستخدم أو تعقيد تقني كبير.
وقال محللون من Shadowserver Foundation إنهم يرصدون أكثر من 500 خادم GoAnywhere MFT مكشوف على الإنترنت، دون وضوح ما إذا كان جميعها قد تلقى التحديث الأمني الذي أصدرته Fortra في 18 سبتمبر.
من ثغرة صفرية إلى هجمات فدية منسقة
ورغم أن Fortra لم تشر في البداية إلى وجود استغلال نشط، فإن باحثي WatchTowr Labs كشفوا بعد أسبوع فقط أدلة موثوقة على استخدام الثغرة فعلاً في هجوم اليوم صفر منذ 10 سبتمبر.
وفي أحدث بيان، أكدت مايكروسوفت صحة تلك التقارير، موضحة أن المجموعة التابعة لـMedusa والمعروفة باسم Storm-1175 نفذت الهجمات منذ 11 سبتمبر على الأقل، مستغلة الثغرة قبل إصدار التحديث الرسمي.
وقال باحثو Microsoft Defender إن النشاط “يتطابق مع أساليب وتقنيات وإجراءات المجموعة”، مشيرين إلى أن المهاجمين استخدموا الثغرة للوصول الأولي، ثم لجؤوا إلى أدوات الإدارة والمراقبة عن بعد (RMM) مثل SimpleHelp وMeshAgent للحفاظ على موطئ قدم دائم داخل الشبكات المصابة.
مراحل الهجوم وأساليب الانتشار
بعد التسلل، شغل المهاجمون أدوات RMM لجمع المعلومات عن المستخدمين والأنظمة، واستخدموا أداة Netscan للاستطلاع الشبكي، قبل أن يتحركوا أفقياً عبر الشبكة باستخدام أداة الاتصال عن بعد Microsoft Remote Desktop (mtsc.exe).
كما أكدت مايكروسوفت أن المهاجمين استخدموا أداة Rclone في بعض البيئات المسروقة لتسريب الملفات قبل تشفيرها ببرمجية Medusa.
وكانت وكالة الأمن السيبراني الأميركية CISA قد حذرت في مارس الماضي، بالتعاون مع مكتب التحقيقات الفيدرالي FBI ومركز MS-ISAC، من أن عمليات Medusa استهدفت أكثر من 300 جهة حيوية داخل الولايات المتحدة.
سجل طويل للهجمات واستغلال الثغرات
ليست هذه المرة الأولى التي ترتبط فيها Storm-1175 باستغلال ثغرات كبرى. ففي يوليو 2024، ربطت Microsoft المجموعة بثلاث عصابات فدية أخرى نفذت هجمات على خوادم VMware ESXi بعد استغلال ثغرة تجاوز المصادقة، ما أدى إلى نشر برمجيات Akira وBlack Basta.
وتشير التحقيقات إلى أن المجموعة تعتمد أساليب متكررة، مثل الدخول عبر ثغرة غير معروفة، وتفعيل أدوات التحكم عن بعد، وثم سرقة البيانات وتشفيرها لطلب الفدية.
توصيات عاجلة للحماية
دعت مايكروسوفت وFortra مسؤولي الأنظمة إلى ترقية GoAnywhere MFT إلى أحدث الإصدارات فوراً، مع مراجعة ملفات السجلات للبحث عن مؤشرات تشير إلى استغلال، مثل ظهور رسالة stack trace تحتوي على عبارة SignedObject.getObject.
كما نصحت الشركات المتأثرة بعزل الأنظمة المشبوهة، وتفعيل مراقبة الاتصالات الخارجية، وتقييد صلاحيات الدخول إلى بيئة GoAnywhere عبر الشبكات الداخلية فقط.
