微软将Storm-1175与GoAnywhere漏洞关联部署Medusa勒索病毒

微软近日将一个网络犯罪团伙命名为Storm-1175，该团伙利用Fortra GoAnywhere软件中的重大安全漏洞CVE-2025-10035，该漏洞的CVSS评分为10.0，可能导致命令注入和远程代码执行。微软威胁情报团队指出，攻击者可通过伪造许可证响应签名反序列化由其控制的对象。自2025年9月11日起，Storm-1175以针对公众应用程序的攻击而闻名。该漏洞的存在可能使攻击者进行系统和用户发现，并维持长期访问，最终部署恶意软件。攻击者通常使用RMM工具如SimpleHelp和MeshAgent确保持久性，并通过mstsc.exe进行网络横向移动。微软已观察到在至少一个受害者环境中使用Rclone进行数据外泄，导致Medusa勒索软件的部署。

周一，微软将其追踪的一个网络犯罪团伙命名为 Storm-1175，该团伙利用 Fortra GoAnywhere 软件中的一个重大安全漏洞，该漏洞促进了 Medusa 勒索软件的部署。这个漏洞被标识为 CVE-2025-10035，获得了关键的 CVSS 评分 10.0。这是一个反序列化错误，可能使命令注入成为可能，而无需身份验证。该缺陷在版本 7.8.4 和持续发布版本 7.6.3 中得以修复。

根据微软威胁情报团队的说法，“该漏洞可能允许具有有效伪造许可证响应签名的威胁行为者反序列化任意由攻击者控制的对象，可能导致命令注入和潜在的远程代码执行（RCE）。” Storm-1175 自 2025 年 9 月 11 日以来就以利用面向公众的应用程序进行初始访问而闻名。此外，watchTowr 报告了早在 9 月 10 日就有活跃利用的迹象，突显了解决该漏洞的紧迫性。

成功利用 CVE-2025-10035 可能使攻击者能够进行系统和用户发现，维持长期访问，并部署进一步的工具以促进横向移动和恶意软件安装。在初始访问之后，威胁行为者通常会投放远程监控和管理（RMM）工具，例如 SimpleHelp 和 MeshAgent，以确保持久性。执行用户、网络和系统发现的命令，并使用 mstsc.exe（Windows 远程桌面连接）在网络中进行横向移动。微软观察到至少在一个受害者环境中使用 Rclone 进行数据外泄，最终导致 Medusa 勒索软件的部署。正如 watchTowr 的 CEO 和创始人本杰明·哈里斯所说：“自 9 月 11 日以来，运行 GoAnywhere MFT 的组织实际上一直在遭受无声攻击，Fortra 的沟通也非常不明确。”