Microsoft đổ lỗi cho các chi nhánh ransomware Medusa về các cuộc tấn công GoAnywhere, trong khi Fortra vẫn im lặng

Microsoft chỉ đích danh các chi nhánh của Medusa ransomware đã thực hiện các cuộc tấn công nhắm vào sản phẩm GoAnywhere của Fortra. Lỗ hổng, được đánh giá 10.0 và được xác định là CVE-2025-10035, cho phép truy cập nhanh chóng. Một số tổ chức đã bị xâm phạm từ đầu tháng 9. Sự im lặng của nhà cung cấp làm dấy lên lo ngại. Một doanh nghiệp vừa và nhỏ hư cấu, AltoTech, đóng vai trò là đầu mối chung để hiểu rõ tác động. AltoTech sử dụng GoAnywhere để trao đổi tệp giữa các dịch vụ Windows, Azure và Office 365. AltoTech đã phát hiện ra vụ xâm nhập thông qua các nhật ký đáng ngờ và kết nối RMM. Trường hợp này minh họa cho chuỗi tấn công và các lỗ hổng giao tiếp. Microsoft xác định các chi nhánh của Medusa đang khai thác GoAnywhere: chi tiết kỹ thuật và mốc thời gian Hệ thống đo từ xa của Microsoft đã xác định được một nhóm có nhãn Storm-1175. Các chi nhánh này, được biết đến với việc triển khai Medusa, đã khai thác lỗ hổng giải tuần tự hóa trong thành phần License Servlet của GoAnywhere. Một đối tượng Java đã ký giả mạo đã bỏ qua xác minh giấy phép. Lỗ hổng cho phép tiêm lệnh và thực thi mã từ xa. Sau khi khai thác, kẻ tấn công đã tìm kiếm hệ thống, cài đặt cửa hậu và triển khai các công cụ di chuyển ngang. Microsoft đã quan sát thấy các hành động này từ ngày 11 tháng 9. Fortra đã công bố khuyến cáo chính thức vào ngày 18 tháng 9, nhưng không chỉ ra bất kỳ hành vi lạm dụng nào trong thực tế. AltoTech báo cáo rằng cuộc tấn công đã dẫn đến các quy trình GoAnywhere bị xâm phạm và dấu vết của việc tạo tệp .jsp. Điểm mấu chốt: lỗ hổng này “hoàn hảo” cho các chi nhánh tội phạm mạng tìm kiếm quyền truy cập ban đầu. Thông tin chi tiết: Lỗ hổng này đã cung cấp quyền truy cập liên tục trước khi nhiều lỗ hổng được vá. Chuỗi khai thác: Từ lỗ hổng đến việc rò rỉ dữ liệu của Medusa Affiliates Việc khai thác diễn ra theo một trình tự rõ ràng. Đầu tiên, gian lận quá trình giải tuần tự hóa để chiếm quyền kiểm soát quy trình GoAnywhere. Sau đó, cài đặt các công cụ RMM như SimpleHelp và MeshAgent.để duy trì quyền truy cập. Các tệp nhị phân RMM đã được khởi chạy theo quy trình GoAnywhere.

Những kẻ tấn công đã thực hiện các lệnh khám phá, khởi chạy quét mạng và sau đó sử dụng mstsc.exe để di chuyển ngang. Một đường hầm thông qua Cloudflare đóng vai trò là kênh C2 an toàn, sau đó Rclone đã sao chép dữ liệu để trích xuất. Trong ít nhất một môi trường, Medusa cuối cùng đã được triển khai. AltoTech đã tìm thấy các nhật ký hiển thị Rclone và các kết nối ra ngoài đến các địa chỉ IP bất thường. Ví dụ điển hình: một tệp tài chính đã được sao chép vào bộ nhớ ngoài và sau đó được mã hóa. Thông tin chi tiết: Truy cập ban đầu qua GoAnywhere đã biến thành một cuộc trích xuất có chủ đích trong vòng vài giờ.Video trên minh họa các bước kỹ thuật được quan sát trong phòng thí nghiệm. Nó giúp xác định các dấu hiệu xâm phạm trên máy chủ Windows và Azure. Sự im lặng của Fortra: Những câu hỏi chưa được giải đáp và kỳ vọng của khách hàng Bất chấp việc khai thác đã được Microsoft xác nhận ,Fortra

vẫn im lặng. Khách hàng đang yêu cầu câu trả lời: Làm thế nào những kẻ tấn công có được các khóa riêng cần thiết? Tại sao thông báo công khai không đề cập đến các hành vi lạm dụng trong thực tế?

Các chuyên gia, chẳng hạn như Benjamin Harris, đã chỉ ra rằng các tổ chức sử dụng GoAnywhere đã “bị tấn công âm thầm”. Các công ty mong đợi sự minh bạch để đánh giá mức độ rủi ro và ưu tiên các bản vá. Sau khi liên hệ với nhà tích hợp, AltoTech hiện đang yêu cầu bằng chứng khắc phục và các chỉ số để phát hiện các nguy cơ tái xâm phạm tiềm ẩn. Thông tin chi tiết: Việc nhà cung cấp thiếu giao tiếp làm gia tăng rủi ro vận hành và trì hoãn phản ứng chung. Video thứ hai cung cấp các bước thực tế để áp dụng bản vá và thắt chặt quyền truy cập vào bảng điều khiển quản trị. Các hành động tức thời được khuyến nghị cho Windows và Azure Teams Hành động đầu tiên: Ngay lập tức vá phiên bản đã sửa lỗi của GoAnywhere Nếu không thể vá lỗi ngay lập tức, hãy chặn truy cập bên ngoài vào bảng điều khiển quản trị. Fortra nhắc lại rằng việc khai thác phụ thuộc rất nhiều vào việc tiếp xúc với internet. Phân đoạn mạng, giám sát các quy trình GoAnywhere, phát hiện cài đặt RMM và kiểm soát việc truyền tải thông qua Rclone là điều cần thiết. Nhật ký Windows và luồng Azure phải được đối chiếu để xác định các chuyển động ngang và rò rỉ dữ liệu. Đối với các môi trường tích hợp Office 365, hãy xác minh quyền truy cập và tài khoản liên quan đến trao đổi tệp. AltoTech đã cô lập các tài khoản bị xâm phạm và khôi phục các bản sao lưu ngoại tuyến để hạn chế tống tiền kép. Thông tin chi tiết: phản ứng nhanh làm giảm đáng kể thời gian rò rỉ dữ liệu và tác động của ransomware.

Bài học cho an ninh mạng năm 2025: cảnh giác với các chi nhánh và yêu cầu minh bạch

Vụ việc này là một lời nhắc nhở rằng các chi nhánh tội phạm mạng thích nghi rất nhanh. Các chiến dịch ransomware con người đã gia tăng trong những năm gần đây. Các bên liên quan ưa chuộng các ứng dụng bị công khai để tối đa hóa lợi nhuận.

Các nhà cung cấp phải chấp nhận trách nhiệm cao hơn. Các tổ chức yêu cầu các mốc thời gian và chỉ số tấn công rõ ràng. Phản ứng chậm trễ làm suy yếu niềm tin và làm tăng rủi ro cho hệ sinh thái.

AltoTech hiện đang tái định hướng chiến lược: kiểm toán thường xuyên, kiểm tra phục hồi và ký kết hợp đồng minh bạch với các nhà cung cấp. Nhận định cuối cùng: phòng thủ phụ thuộc nhiều vào phản ứng nhanh cũng như sự giao tiếp rõ ràng giữa nhà cung cấp, khách hàng và các bên liên quan đến an ninh mạng. Nguồn: www.theregister.com