Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Cảnh báo lỗ hổng nghiêm trọng của GoAnywhere bị khai thác trong các cuộc tấn công mã độc tống tiền

10:00 | 11/10/2025
Hồng Đạt

Một nhóm tội phạm mạng được theo dõi với tên gọi Storm-1175, đã tích cực khai thác lỗ hổng GoAnywhere MFT nghiêm trọng trong các cuộc tấn công mã độc tống tiền Medusa trong gần một tháng.

Lỗ hổng nhắm vào GoAnywhere MFT của Fortra

Được theo dõi với mã định danh CVE-2025-10035, lỗ hổng bảo mật này ảnh hưởng đến công cụ chuyển dữ liệu an toàn GoAnywhere MFT của Fortra, nguyên nhân dẫn đến sự cố bởi điểm yếu giải tuần tự hóa không đáng tin cậy trong License Servlet. Lỗ hổng có thể bị khai thác từ xa trong các cuộc tấn công có độ phức tạp thấp, không yêu cầu tương tác của người dùng.

Các nhà phân tích đến từ tổ chức bảo mật Shadowserver Foundation hiện đang theo dõi hơn 500 trường hợp MFT GoAnywhere trực tuyến, mặc dù chưa rõ có bao nhiêu trường hợp đã được vá.

Trong khi Fortra vá lỗ hổng bảo mật vào ngày 18/9 mà không đề cập đến việc khai thác đang diễn ra, các nhà nghiên cứu bảo mật tại công ty an ninh mạng WatchTowr (Mỹ) đã gắn thẻ lỗ hổng này đã bị khai thác trong thực tế một tuần sau đó, sau khi nhận được “bằng chứng đáng tin cậy” rằng CVE-2025-10035 đã bị lợi dụng như một lỗ hổng zero-day kể từ ngày 10/9.

Lỗ hổng bị khai thác trong các cuộc tấn công mã độc tống tiền Medusa

Ngày 06/10, Microsoft đã xác nhận báo cáo của WatchTowr, nhấn mạnh rằng một chi nhánh của nhóm tin tặc Medusa, được theo dõi là Storm-1175 đã khai thác lỗ hổng này trong các cuộc tấn công kể từ ít nhất ngày 11/9/2025.

Microsoft cho biết: “Các nhà nghiên cứu của Microsoft Defender đã xác định hoạt động khai thác trong nhiều tổ chức có liên quan đến các chiến thuật, kỹ thuật và quy trình (TTP) được cho là do Storm-1175 gây ra. Để truy cập ban đầu, kẻ tấn công đã khai thác lỗ hổng zero-day tuần tự hóa trong GoAnywhere MFT. Để duy trì tính bền bỉ, chúng lạm dụng các công cụ giám sát và quản lý từ xa (RMM), cụ thể là SimpleHelp và MeshAgent”.

Ở giai đoạn tiếp theo của cuộc tấn công, các tin tặc khởi chạy các tệp nhị phân RMM, sử dụng Netscan để do thám mạng, thực thi các lệnh để phát hiện người dùng và hệ thống, đồng thời di chuyển ngang qua mạng bị xâm phạm đến nhiều hệ thống bằng cách sử dụng Microsoft Remote Desktop Connection (mtsc.exe).

Trong cuộc tấn công, chúng cũng triển khai Rclone trong môi trường của ít nhất một nạn nhân để đánh cắp các tệp tin bị đánh cắp, cũng như triển khai mã độc tống tiền Medusa để mã hóa các tệp tin của nạn nhân.

Vào tháng 3/2025, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã ban hành khuyến cáo chung với Cục Điều tra Liên bang (FBI) và Trung tâm chia sẻ và phân tích thông tin (MS-ISAC), cảnh báo rằng hoạt động của nhóm tin tặc Medusa đã ảnh hưởng đến hơn 300 tổ chức cơ sở hạ tầng quan trọng trên khắp nước Mỹ.

Cùng với ba băng nhóm tội phạm mạng khác, Storm-1175 cũng được Microsoft liên kết với các cuộc tấn công khai thác lỗ hổng bypass xác thực VMware ESXi, dẫn đến việc triển khai mã độc tống tiền AkiraBlack Basta vào tháng 7/2024.

Để bảo vệ khỏi các cuộc tấn công mã độc tống tiền Medusa nhắm vào máy chủ GoAnywhere MFT, Microsoft và Fortra khuyến cáo quản trị viên hệ thống cần nâng cấp lên phiên bản mới nhất. Fortra cũng yêu cầu khách hàng kiểm tra tệp log của họ để tìm lỗi theo dõi ngăn xếp bằng chuỗi SignedObject.getObject, để xác định xem các phiên bản có bị ảnh hưởng hay không.

Twitter Zalo Facebook YouTube Copy Link QR Code
MÃ ĐỘC TỐNG TIỀN LỖ HỔNG BẢO MẬT GIẢI TUẦN TỰ HÓA BẢN VÁ CVE-2025-10035 GOANYWHERE MFT CISA STORM-1175 AKIRA BLACK BASTA FORTA CẢNH BÁO MICROSOFT MEDUSA ĐÁNH CẮP DỮ LIỆU
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết