กลุ่มอาชญากรรมไซเบอร์ที่ถูกติดตามภายใต้ชื่อ Storm-1175 กำลังใช้ช่องโหว่ระดับ Critical ** ใน GoAnywhere MFT เพื่อโจมตีด้วย Medusa ransomware มาเป็นระยะเวลานานเกือบหนึ่งเดือนแล้ว
ช่องโหว่ CVE-2025-10035 ใน GoAnywhere MFT ของ Fortra ซึ่งเป็นเครื่องมือโอนย้ายข้อมูลบนเว็บอย่างปลอดภัย ซึ่งเกิดจากการที่ License Servlet มีช่องโหว่ในการจัดการข้อมูลที่ไม่น่าเชื่อถือ ช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลได้ง่าย โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้
Shadowserver Foundation กำลังตรวจสอบ GoAnywhere MFT กว่า 500 ตัวที่ออนไลน์อยู่ เพื่อดูจำนวนที่ได้รับการอัปเดต โดยนักวิเคราะห์ด้านความปลอดภัยได้ติดตามเรื่องนี้อย่างใกล้ชิด
Fortra ได้ออกแพตช์สำหรับช่องโหว่นี้เมื่อวันที่ 18 กันยายน 2025 ซึ่งไม่ได้ระบุถึงการโจมตีที่เกิดขึ้นจริง อย่างไรก็ตาม ทีมวิจัยด้านความปลอดภัยจาก WatchTower Labs พบหลักฐานที่น่าเชื่อถือยืนยันได้ว่า ช่องโหว่ CVE-2025-10035 ถูกนำไปใช้ประโยชน์ในการโจมตีแบบ zero-day มาตั้งแต่วันที่ 10 กันยายน ซึ่งเป็นเวลาหนึ่งสัปดาห์ก่อนที่แพตช์จะถูกปล่อยออกมา
ช่องโหว่ถูกใช้ในการโจมตีด้วย Medusa ransomware
ไมโครซอฟท์ได้ยืนยันรายงานของ WatchTowr Labs โดยระบุว่า กลุ่มที่เกี่ยวข้องกับ Medusa ransomware ซึ่งถูกติดตามในชื่อ Storm-1175 ได้เริ่มใช้ช่องโหว่นี้ในการโจมตีมาตั้งแต่วันที่ 11 กันยายน 2025 เป็นต้นมา
ทีมวิจัยของ Microsoft Defender พบกิจกรรมการโจมตีในหลายองค์กร ซึ่งมีรูปแบบของยุทธวิธี เทคนิค และกระบวนการ (TTPs) ที่สอดคล้องกับกลุ่ม Storm-1175 โดยในการเข้าถึงระบบครั้งแรก ผู้โจมตีได้ใช้ช่องโหว่ deserialization ใน GoAnywhere MFT ซึ่งขณะนั้นยังเป็นช่องโหว่แบบ zero-day และเพื่อรักษาการเข้าถึงอย่างต่อเนื่อง พวกเขาได้ใช้เครื่องมือควบคุมจากระยะไกล (RMM) โดยเฉพาะ SimpleHelp และ MeshAgent
ในการโจมตีครั้งถัดไป กลุ่มผู้โจมตีได้เปิดใช้งานไฟล์ไบนารี RMM, ใช้ Netscan เพื่อแสกนเครือข่าย, เรียกใช้คำสั่งเพื่อค้นหาผู้ใช้ และระบบ จากนั้นจึงขยายการโจมตีไปยังระบบต่าง ๆ ภายในเครือข่ายที่ถูกโจมตีโดยใช้ไคลเอนต์ Microsoft Remote Desktop Connection (mtsc.