Eine als Storm-1175 bekannte Cyberkriminalitätsgruppe nutzt seit fast einem Monat aktiv eine kritische Sicherheitslücke in der Software GoAnywhere MFT aus, um Angriffe mit der Medusa-Ransomware durchzuführen. Microsoft hat bestätigt, dass die Angreifer die Schwachstelle bereits als Zero-Day ausnutzten, bevor der Hersteller einen Patch veröffentlichte.
Die betroffene Software GoAnywhere MFT von Fortra wird für den sicheren Dateitransfer in Unternehmen eingesetzt. Die Schwachstelle mit der Kennung CVE-2025-10035 ermöglicht es Angreifern, aus der Ferne und ohne Interaktion des Nutzers die Kontrolle über betroffene Systeme zu erlangen. Experten warnen, dass Hunderte von Systemen weiterhin online erreichbar und potenziell gefährdet sind.
Wichtige Erkenntnisse
- Eine kritische Schwachstelle (CVE-2025-10035) in GoAnywhere MFT wird aktiv ausgenutzt.
- Die Hackergruppe Storm-1175 setzt die Lücke für Angriffe mit der Medusa-Ransomware ein.
- Microsoft bestätigt, dass die Ausnutzung bereits vor der Veröffentlichung des Sicherheitspatches begann.
- Administratoren werden dringend aufgefordert, ihre Systeme auf die neueste Version zu aktualisieren.
Details zur Sicherheitslücke CVE-2025-10035
Die als CVE-2025-10035 klassifizierte Schwachstelle betrifft die webbasierte Dateitransferlösung GoAnywhere MFT des Herstellers Fortra. Das Problem liegt in einer fehlerhaften Deserialisierung von nicht vertrauenswürdigen Daten im sogenannten License Servlet der Anwendung. Diese Art von Fehler kann es Angreifern ermöglichen, schädlichen Code auf dem betroffenen Server auszuführen.
Die Sicherheitslücke wird mit dem höchsten Schweregrad bewertet, da sie aus der Ferne ausgenutzt werden kann. Angriffe sind laut Sicherheitsexperten von geringer Komplexität und erfordern keine Mitwirkung eines Benutzers, was sie besonders gefährlich macht. Ein Angreifer benötigt lediglich Zugriff auf die webbasierte Verwaltungsoberfläche des MFT-Servers.
Was ist eine Deserialisierungs-Schwachstelle?
Serialisierung ist der Prozess, bei dem ein Datenobjekt in ein Format umgewandelt wird, das gespeichert oder übertragen werden kann (z. B. eine Textdatei). Deserialisierung ist der umgekehrte Vorgang. Eine Schwachstelle entsteht, wenn eine Anwendung Daten aus einer nicht vertrauenswürdigen Quelle deserialisiert, ohne deren Inhalt ausreichend zu überprüfen. Angreifer können speziell präparierte Daten senden, die bei der Verarbeitung zur Ausführung von beliebigem Code führen.
Chronologie der Angriffe und Entdeckungen
Obwohl Fortra am 18. September 2025 einen Sicherheitspatch veröffentlichte, erwähnte das Unternehmen zu diesem Zeitpunkt keine aktive Ausnutzung der Lücke. Die Ereignisse entwickelten sich jedoch schnell und zeigten, dass Angreifer den Entwicklern zuvorgekommen waren.
Bereits am 10. September 2025, also mehr als eine Woche vor der Veröffentlichung des Patches, wurde die Schwachstelle laut den Sicherheitsforschern von WatchTowr Labs als Zero-Day ausgenutzt. Ein Zero-Day ist eine Sicherheitslücke, die Angreifern bekannt ist und aktiv genutzt wird, bevor der Hersteller eine Lösung bereitstellen kann.
Microsoft bestätigte diese Beobachtungen am 6. Oktober 2025. Laut den Analysten des Unternehmens begann die mit der Medusa-Ransomware in Verbindung stehende Gruppe Storm-1175 ihre Angriffe mindestens am 11. September 2025. Dies belegt, dass die Cyberkriminellen die Schwachstelle ausnutzten, als sie der Öffentlichkeit und vielen Administratoren noch unbekannt war.
Über 500 Systeme potenziell gefährdet
Die Shadowserver Foundation, eine gemeinnützige Organisation, die sich auf die Überwachung von Malware und Botnetzen spezialisiert hat, meldet, dass sie derzeit über 500 GoAnywhere MFT-Instanzen überwacht, die über das Internet erreichbar sind. Es ist unklar, wie viele dieser Systeme bereits auf die sichere Version aktualisiert wurden.
Die Taktiken der Angreifergruppe Storm-1175
Microsoft-Forscher haben die Vorgehensweise der Angreifer detailliert analysiert. Die Gruppe, die als Partner der Medusa-Ransomware-Operation gilt, folgte einem klaren Muster, um ihre Ziele zu erreichen.
Erstzugang und Persistenz
Für den ersten Zugriff auf die Netzwerke ihrer Opfer nutzte Storm-1175 die Zero-Day-Schwachstelle in GoAnywhere MFT aus. Sobald sie im System Fuß gefasst hatten, sicherten sie sich ihren Zugang für die Zukunft. Dazu missbrauchten sie legitime Fernwartungs- und Management-Tools (RMM) wie SimpleHelp und MeshAgent. Der Einsatz solcher Werkzeuge erschwert die Entdeckung, da ihre Aktivitäten oft als normaler administrativer Datenverkehr erscheinen.
Netzwerkerkundung und laterale Bewegung
Nachdem der Zugang gesichert war, begann die nächste Phase des Angriffs. Die Angreifer führten die RMM-Software aus und nutzten das Tool Netscan zur Erkundung des kompromittierten Netzwerks. Sie sammelten Informationen über Benutzer und Systeme und bewegten sich seitlich (lateral) durch das Netzwerk. Für diese laterale Bewegung setzten sie den standardmäßigen Microsoft Remote Desktop Connection Client (mtsc.exe) ein, um auf weitere Systeme zuzugreifen.
„Microsoft Defender-Forscher identifizierten Ausnutzungsaktivitäten in mehreren Organisationen, die mit den Taktiken, Techniken und Prozeduren (TTPs) von Storm-1175 übereinstimmen.“
Datenexfiltration und Verschlüsselung
In der letzten Phase des Angriffs stahlen die Täter sensible Daten. In mindestens einem Fall wurde das Tool Rclone eingesetzt, um gestohlene Dateien aus der Umgebung des Opfers zu exfiltrieren. Schließlich wurde die Medusa-Ransomware auf den kompromittierten Systemen verteilt, um die Dateien der Opfer zu verschlüsseln und Lösegeld zu fordern.
Verbindungen zu früheren Angriffen und Empfehlungen
Die Gruppe Storm-1175 ist keine Unbekannte. Microsoft hatte sie bereits im Juli 2024 zusammen mit drei anderen Gruppen mit Angriffen in Verbindung gebracht, die eine Authentifizierungs-Schwachstelle in VMware ESXi ausnutzten. Diese Angriffe führten zur Verbreitung der Ransomware-Varianten Akira und Black Basta.
Die Medusa-Ransomware-Operation selbst ist ebenfalls eine erhebliche Bedrohung. Eine gemeinsame Warnung von CISA, FBI und MS-ISAC vom März 2025 besagte, dass die Gruppe bereits über 300 Organisationen der kritischen Infrastruktur in den USA angegriffen hatte.
Schutzmaßnahmen für Administratoren
Sowohl Microsoft als auch der Hersteller Fortra haben klare Empfehlungen für Unternehmen herausgegeben, die GoAnywhere MFT einsetzen:
- Dringendes Update: Administratoren müssen ihre Server unverzüglich auf die neueste, gepatchte Version aktualisieren, um die Schwachstelle zu schließen.
- Überprüfung der Protokolldateien: Fortra rät Kunden, ihre Protokolldateien auf Stack-Trace-Fehler zu überprüfen, die die Zeichenfolge
SignedObject.getObjectenthalten. Solche Einträge können ein Hinweis auf einen erfolgten oder versuchten Angriff sein.
Die fortgesetzte Ausnutzung dieser Schwachstelle unterstreicht die Notwendigkeit für Unternehmen, Software-Updates zeitnah zu installieren und ihre Systeme kontinuierlich auf Anzeichen verdächtiger Aktivitäten zu überwachen. Insbesondere bei kritischen Systemen wie Dateitransfer-Servern können Verzögerungen verheerende Folgen haben.
