Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,483
- Баллы
- 155
По информации ИБ-специалистов, сразу несколько китайских хак-групп используют цепочку уязвимостей нулевого дня в Microsoft SharePoint в своих атаках. В частности стало известно, что злоумышленники скомпрометировали сеть Национального управления по ядерной безопасности США.
ToolShell
Цепочка 0-day уязвимостей в SharePoint получила название ToolShell и впервые была продемонстрирована на хакерском соревновании Pwn2Own Berlin в мае 2025 года. Тогда специалисты из Viettel Cyber Security объединили друг с другом два дефекта ( и ) для осуществления RCE-атаки.
Хотя в июле 2025 года разработчики Microsoft выпустили патчи для обеих уязвимостей ToolShell, злоумышленники сумели обойти исправления с помощью новых эксплоитов.
В результате новые уязвимости получили идентификаторы (9,8 балла по шкале CVSS; обход патча для CVE-2025-49704) и (6,3 балла по шкале CVSS; обход патча для CVE-2025-49706). Еще на прошлой неделе аналитики компании Eye Security , что свежие проблемы уже применяются для атак на on-premises серверы SharePoint.
В итоге разработчики Microsoft уже выпустили экстренные патчи для обеих RCE-проблем, повторно исправив уязвимости в SharePoint Subscription Edition, SharePoint 2019 и SharePoint 2016:
- для Microsoft SharePoint Server 2019 Core и для языкового пакета Microsoft SharePoint Server 2019;
- для Microsoft SharePoint Enterprise Server 2016 и для языкового пакета Microsoft SharePoint Enterprise Server 2016;
- для Microsoft SharePoint Subscription Edition.
Кроме того, после установки исправлений администраторам провести ротацию ключей. Также настоятельно рекомендуется интегрировать и включить Antimalware Scan Interface (AMSI) и Microsoft Defender Antivirus (или другие аналогичные решения) для всех on-premises развертываний SharePoint и настроить AMSI в Full Mode.
Атаки
Как сообщается теперь в многочисленных отчетах специалистов, в настоящее время от атак уже пострадали десятки организаций по всему миру. К примеру, отчеты об эксплуатации этих багов опубликовали компании , , , , , , , , и так далее.
В свою очередь, эксперты , что свежие уязвимости взяты на вооружение китайскими APT-группировками Linen Typhoon (она же APT27, Bronze Union, Emissary Panda, Iodine, Lucky Mouse, Red Phoenix и UNC215), Violet Typhoon (она же APT31, Bronze Vinewood, Judgement Panda, Red Keres и Zirconium) и третьей китайской хак-группой — Storm-2603. Информацию об атаках китайских хакеров на SharePoint подтверждают и специалисты Google Cloud из Mandiant Consulting.
При этом, по данным специалистов компании Check Point, первые признаки эксплуатации уязвимостей были обнаружены еще 7 июля 2025 года. Злоумышленники атаковали десятки организаций в правительственном, телекоммуникационном и ИТ-секторах в странах Северной Америки и Западной Европы.
В Microsoft поделились следующими индикаторами компрометации (IOC), которые помогут защитникам выявить взломанные серверы SharePoint:
- 199.202[.]205: IP-адрес, эксплуатирующий уязвимости SharePoint;
- 238.159[.]149: IP-адрес, эксплуатирующий уязвимости SharePoint;
- 130.206[.]168: IP-адрес, эксплуатирующий уязвимости SharePoint;
- 226.2[.]6: управляющий сервер, использующийся для постэксплуатации;
- aspx: веб-шелл, который развертывают атакующие (также встречаются варианты spinstall.aspx, spinstall1.aspx и spinstall2.aspx);
- ngrok-free[.]app/file.ps1: туннель Ngrok, использовавшийся для доставки PowerShell.
Хуже того, на этой неделе на GitHub появился для CVE-2025-53770, поэтому ИБ-специалисты ожидают, что вскоре к атакам на ToolShell присоединятся и другие хакерские группировки.
По информации экспертов компании Eye Security, в настоящее время от атак ToolShell пострадали не менее 400 серверов и 148 организаций по всему миру.
Также стоит отметить, что сегодня стало известно, что от ToolShell-атаки пострадало Национальное управление ядерной безопасности США (National Nuclear Security Administration, NNSA). Это ведомство входит в состав Министерства энергетики США, отвечает за хранение запасов ядерного оружия страны, а также занимается реагированием на ядерные и радиологические ЧС в США и за рубежом.
По информации , пока не обнаружено никаких доказательств того, что в результате атаки могла быть скомпрометирована какая-либо конфиденциальная или секретная информация.