Microsoft: Cybererpresser nutzen kritische Lücke in Goanywhere
Microsoft warnt vor einer aktuellen Malware-Kampagne, bei der Cybererpresser eine kritische Sicherheitslücke in der Software Goanywhere Managed File Transfer (MFT) ausnutzen, um Ransomware zu verbreiten(öffnet im neuen Fenster) . Hinter den seit mindestens dem 11. September laufenden Angriffen steckt ein Bedrohungsakteur namens Storm-1175. Inzwischen liegt ein Patch für die Schwachstelle vor.
Erstmalig beschrieben wurden die Attacken vom Sicherheitsanbieter Watchtowr Labs, wie Bleeping Computer(öffnet im neuen Fenster) berichtet. Demnach soll die Hackergruppe die zu dem Zeitpunkt noch ungepatchte Lücke sogar seit dem 10. September ins Visier nehmen.
Bei der fraglichen Anfälligkeit mit der Kennung CVE-2025-10035 handelt es sich um eine Deserialisierung nicht vertrauenswürdiger Daten. Angreifer können unter Umständen Objekte oder Daten, die als manipulationssicher galten, verändern. Unter anderem können Unbefugte unter Umständen Funktionen verändern oder unerwartet aufrufen, wie beispielsweise eine Shell.
Patch bereits verfügbar
Fortra, der Entwickler von Goanywhere MFT, bietet seit dem 18. September einen Patch für die Lücke an(öffnet im neuen Fenster) . Sicherheitsanalysten der Shadowserver Foundation sollen dem Bericht zufolge mehr als 500 Goanywhere-MFT-Instanzen überwachen, die aus dem Internet erreichbar sind. Unklar ist, wie viele davon bereits gepatcht wurden.
"Forscher von Microsoft Defender haben in mehreren Organisationen Exploit-Aktivitäten identifiziert, die den Taktiken, Techniken und Verfahren (TTPs) entsprechen, die Storm-1175 zugeschrieben werden" , teilte Microsoft mit. "Für den ersten Zugriff nutzte der Angreifer die damals noch unbekannte Zero-Day-Sicherheitslücke in Goanywhere MFT aus. Um sich dauerhaft Zugang zu verschaffen, missbrauchte er Tools für die Fernüberwachung und -verwaltung (RMM), insbesondere Simplehelp und Meshagent."
Hacker stehlen auch Daten
Der Analyse von Microsoft zufolge nutzt Storm-1175 die Lücke, um die Ransomware Medusa zu verbreiten. Zudem soll bei mindestens einem Angriff das Tool Rclone zum Einsatz gekommen sein, um Daten aus einem kompromittierten System abzugreifen.
Um sich gegen Medusa-Ransomware-Angriffe auf Goanywhere-MFT-Server zu schützen, raten Microsoft- und Fortra-Administratoren, auf die neuesten Versionen zu aktualisieren. Fortra forderte Kunden außerdem auf, ihre Protokolldateien auf Stack-Trace-Fehler mit der Zeichenfolge "SignedObject.getObject" zu überprüfen, um festzustellen, ob Instanzen betroffen sind.