กลุ่มอาชญากรรมไซเบอร์ที่ถูกติดตามภายใต้ชื่อ Storm-1175 กำลังใช้ช่องโหว่ระดับ Critical ** ใน GoAnywhere MFT เพื่อโจมตีด้วย Medusa ransomware มาเป็นระยะเวลานานเกือบหนึ่งเดือนแล้ว
ช่องโหว่ CVE-2025-10035 ใน GoAnywhere MFT ของ Fortra ซึ่งเป็นเครื่องมือโอนย้ายข้อมูลบนเว็บอย่างปลอดภัย ซึ่งเกิดจากการที่ License Servlet มีช่องโหว่ในการจัดการข้อมูลที่ไม่น่าเชื่อถือ ช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลได้ง่าย โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้
Shadowserver Foundation กำลังตรวจสอบ GoAnywhere MFT กว่า 500 ตัวที่ออนไลน์อยู่ เพื่อดูจำนวนที่ได้รับการอัปเดต โดยนักวิเคราะห์ด้านความปลอดภัยได้ติดตามเรื่องนี้อย่างใกล้ชิด
Fortra ได้ออกแพตช์สำหรับช่องโหว่นี้เมื่อวันที่ 18 กันยายน 2025 ซึ่งไม่ได้ระบุถึงการโจมตีที่เกิดขึ้นจริง อย่างไรก็ตาม ทีมวิจัยด้านความปลอดภัยจาก WatchTower Labs พบหลักฐานที่น่าเชื่อถือยืนยันได้ว่า ช่องโหว่ CVE-2025-10035 ถูกนำไปใช้ประโยชน์ในการโจมตีแบบ zero-day มาตั้งแต่วันที่ 10 กันยายน ซึ่งเป็นเวลาหนึ่งสัปดาห์ก่อนที่แพตช์จะถูกปล่อยออกมา
ช่องโหว่ถูกใช้ในการโจมตีด้วย Medusa ransomware
ไมโครซอฟท์ได้ยืนยันรายงานของ WatchTowr Labs โดยระบุว่า กลุ่มที่เกี่ยวข้องกับ Medusa ransomware ซึ่งถูกติดตามในชื่อ Storm-1175 ได้เริ่มใช้ช่องโหว่นี้ในการโจมตีมาตั้งแต่วันที่ 11 กันยายน 2025 เป็นต้นมา
ทีมวิจัยของ Microsoft Defender พบกิจกรรมการโจมตีในหลายองค์กร ซึ่งมีรูปแบบของยุทธวิธี เทคนิค และกระบวนการ (TTPs) ที่สอดคล้องกับกลุ่ม Storm-1175 โดยในการเข้าถึงระบบครั้งแรก ผู้โจมตีได้ใช้ช่องโหว่ deserialization ใน GoAnywhere MFT ซึ่งขณะนั้นยังเป็นช่องโหว่แบบ zero-day และเพื่อรักษาการเข้าถึงอย่างต่อเนื่อง พวกเขาได้ใช้เครื่องมือควบคุมจากระยะไกล (RMM) โดยเฉพาะ SimpleHelp และ MeshAgent
ในการโจมตีครั้งถัดไป กลุ่มผู้โจมตีได้เปิดใช้งานไฟล์ไบนารี RMM, ใช้ Netscan เพื่อแสกนเครือข่าย, เรียกใช้คำสั่งเพื่อค้นหาผู้ใช้ และระบบ จากนั้นจึงขยายการโจมตีไปยังระบบต่าง ๆ ภายในเครือข่ายที่ถูกโจมตีโดยใช้ไคลเอนต์ Microsoft Remote Desktop Connection (mtsc.exe)
ระหว่างการโจมตี พวกเขายังได้ติดตั้ง Rclone ในระบบของเหยื่ออย่างน้อยหนึ่งรายเพื่อขโมยไฟล์ และติดตั้งมัลแวร์ Medusa ransomware เพื่อเข้ารหัสไฟล์ของเหยื่อ
ในเดือนมีนาคม CISA ได้ออกคำแนะนำร่วมกับ FBI และ Multi-State Information Sharing and Analysis Center (MS-ISAC) โดยเตือนว่า การโจมตีจากมัลแวร์ Medusa ransomware ได้ส่งผลกระทบต่อองค์กรที่มีโครงสร้างพื้นฐานสำคัญมากกว่า 300 แห่งทั่วสหรัฐอเมริกา
นอกจากนี้ ในเดือนกรกฎาคม 2024 ไมโครซอฟท์ยังได้เชื่อมโยงกลุ่ม Storm-1175 กับการโจมตีที่ใช้ช่องโหว่ใน VMware ESXi ซึ่งสามารถ Bypass การยืนยันตัวตนได้ และส่งผลให้มีการติดตั้งมัลแวร์ Akira และ Black Basta ร่วมกับกลุ่มอาชญากรรมไซเบอร์อื่น ๆ อีกสามกลุ่ม
เพื่อป้องกันการโจมตีจาก Medusa ransomware ที่มุ่งเป้าไปที่เซิร์ฟเวอร์ GoAnywhere MFT ไมโครซอฟท์ และ Fortra จึงแนะนำให้ผู้ดูแลระบบอัปเกรดเป็นเวอร์ชันล่าสุด ขณะเดียวกัน Fortra ยังขอให้ลูกค้าตรวจสอบ Log Files เพื่อหา stack trace errors ที่มีสตริง SignedObject.getObject เพื่อตรวจสอบว่าเซิร์ฟเวอร์ของตนได้รับผลกระทบหรือไม่
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.