Nhóm Storm-1175 lợi dụng lỗ hổng GoAnywhere MFT để phát tán Medusa ransomware

[Kaya]

Một chiến dịch tấn công mạng nghiêm trọng đang khiến giới an ninh mạng toàn cầu lo ngại, nhóm tin tặc Storm-1175 đã được Microsoft theo dõi từ lâu, đã khai thác lỗ hổng bảo mật nghiêm trọng CVE-2025-10035 trong công cụ GoAnywhere MFT của hãng Fortra để phát tán ransomware Medusa. Lỗ hổng này được đánh giá mức nguy hiểm tối đa (CVSS 10.0) và đã bị lợi dụng như một zero-day từ đầu tháng 9/2025 (trước khi bản vá chính thức được công bố).

GoAnywhere MFT (Managed File Transfer) là nền tảng chuyển tệp tin an toàn, được nhiều tổ chức tài chính, y tế và doanh nghiệp lớn sử dụng để chia sẻ dữ liệu nội bộ hoặc với đối tác.

Tuy nhiên, lỗ hổng CVE-2025-10035 lại nằm trong thành phần License Servlet (một mô-đun web xử lý thông tin cấp phép phần mềm). Vấn đề xuất phát từ lỗi "deserialization of untrusted data", tức phần mềm giải mã và xử lý dữ liệu đầu vào mà không kiểm tra tính an toàn. Lỗ hổng này cho phép tin tặc từ xa chèn dữ liệu độc hại để thực thi mã tùy ý trên máy chủ, hoàn toàn không cần tương tác từ người dùng.

Dù Fortra đã phát hành bản vá ngày 18/9/2025, các chuyên gia tại WatchTowr Labs sau đó phát hiện lỗ hổng đã bị khai thác trước đó gần một tuần, biến nó thành zero-day thực tế.

Theo báo cáo từ Microsoft, nhóm Storm-1175 (một nhánh liên kết với Medusa ransomware) đã tận dụng lỗ hổng GoAnywhere từ ngày 11/9/2025 để xâm nhập nhiều tổ chức.

Quá trình tấn công được mô tả khá chi tiết:

• Sau khi khai thác lỗ hổng để truy cập vào hệ thống GoAnywhere MFT, nhóm tấn công duy trì quyền kiểm soát bằng cách cài đặt công cụ quản lý từ xa (RMM) như SimpleHelp và MeshAgent.
• Tiếp theo, chúng dò quét mạng nội bộ bằng công cụ Netscan, thu thập thông tin người dùng và hệ thống, sau đó di chuyển ngang (lateral movement) bằng Remote Desktop (mstsc.exe) để chiếm thêm máy chủ.
• Trong giai đoạn cuối, tin tặc dùng Rclone để sao chép và đánh cắp dữ liệu, rồi triển khai Medusa ransomware để mã hóa toàn bộ tệp tin, tống tiền nạn nhân.

Chiến thuật này tương đồng với những vụ tấn công mà CISA và FBI từng cảnh báo hồi tháng 3/2025, khi Medusa đã gây thiệt hại cho hơn 300 tổ chức hạ tầng trọng yếu tại Mỹ. Microsoft cũng từng ghi nhận Storm-1175 tham gia khai thác lỗ hổng VMware ESXi vào năm 2024 để phát tán ransomware Akira và Black Basta.

Hiện Shadowserver Foundation thống kê có hơn 500 máy chủ GoAnywhere MFT đang phơi bày trên Internet và chưa rõ bao nhiêu hệ thống đã được cập nhật bản vá. Với tính chất của MFT (thường xử lý tệp tin nhạy cảm và thông tin khách hàng) việc bị xâm nhập có thể khiến dữ liệu bí mật bị rò rỉ hoặc bị mã hóa hoàn toàn, gây đình trệ hoạt động kinh doanh và thiệt hại tài chính nghiêm trọng.

​

Trong khi Fortra tiếp tục phối hợp điều tra, các chuyên gia khuyến cáo quản trị viên:

• Cập nhật GoAnywhere MFT lên bản mới nhất ngay lập tức.
• Kiểm tra nhật ký hệ thống (log), tìm các chuỗi lỗi có chứa "SignedObject.getObject", dấu hiệu cho thấy hệ thống có thể đã bị khai thác.
• Giới hạn quyền truy cập mạng chỉ cho phép các máy chủ nội bộ hoặc địa chỉ IP đáng tin cậy.
• Theo dõi hoạt động bất thường, đặc biệt là việc cài đặt trái phép RMM hoặc công cụ sao chép dữ liệu như Rclone.
• Sao lưu dữ liệu định kỳ và lưu trữ bản sao trên hệ thống độc lập để giảm thiểu rủi ro khi bị mã hóa.

Lỗ hổng CVE-2025-10035 cho thấy các nền tảng truyền tệp “bảo mật” cũng có thể trở thành điểm yếu nghiêm trọng nếu không được cập nhật thường xuyên. Với việc Medusa ransomware liên tục mở rộng mục tiêu, việc kiểm tra, vá lỗi và giám sát bảo mật cho GoAnywhere MFT không chỉ là khuyến nghị – mà là yêu cầu cấp bách để tránh kịch bản “toàn mạng bị khóa chỉ vì một tệp tin cấp phép nhỏ”.

Đôi khi, chỉ một lỗ hổng nhỏ trong hệ thống “bảo mật” lại chính là chiếc chìa khóa mở toang cánh cửa cho tin tặc bước vào.

Theo WhiteHat.vn​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview