Microsoft выявила три китайские хакерские группы, эксплуатирующие неисправленные уязвимости в локальных серверах SharePoint. Активность отслеживается с 7 июля 2025 года.
Linen Typhoon (также известный как APT27, Bronze Union) действует с 2012 года. Группа применяла вредоносное ПО SysUpdate, HyperBro и PlugX. Violet Typhoon (APT31, Bronze Vinewood), активная с 2015 года, ранее атаковала цели в США, Финляндии и Чехии. Storm-2603, предположительно базирующаяся в Китае, использовала программы-вымогатели Warlock и LockBit. Microsoft предупреждает: атаки на непропатченные системы будут продолжаться (высокая уверенность).
Эксплойты нацелены на две уязвимости SharePoint: CVE-2025-49706 (подмена) и CVE-2025-49704 (удалённое выполнение кода). Хакеры обходят исправления через CVE-2025-53771 и CVE-2025-53770.
Атака начинается с POST-запроса к конечной точке ToolPane. Это позволяет обойти аутентификацию и выполнить произвольный код. После компрометации развёртывается веб-шелл (например, spinstall0.aspx, spinstall.aspx), который похищает данные MachineKey.
Исследователь Rakesh Krishnan обнаружил, что во время эксплуатации запускаются три процесса Microsoft Edge: Network Utility Process, Crashpad Handler и GPU Process. Это имитирует легитимную активность для обхода песочниц. Веб-шеллы маскируют трафик командования под запросы Google Client Update Protocol (CUP), смешиваясь с фоновыми обновлениями.
Microsoft настоятельно рекомендует:
В марте 2021 года китайская группа Silk Typhoon (Hafnium) использовала уязвимости нулевого дня в Exchange Server. Ранее в этом месяце итальянские власти арестовали китайца Сюй Цзевэя (Xu Zewei, 33 года). Его обвиняют в кибератаках на американские организации и госструктуры через уязвимости Exchange Server (ProxyLogon).
Изображение носит иллюстративный характер
Linen Typhoon (также известный как APT27, Bronze Union) действует с 2012 года. Группа применяла вредоносное ПО SysUpdate, HyperBro и PlugX. Violet Typhoon (APT31, Bronze Vinewood), активная с 2015 года, ранее атаковала цели в США, Финляндии и Чехии. Storm-2603, предположительно базирующаяся в Китае, использовала программы-вымогатели Warlock и LockBit. Microsoft предупреждает: атаки на непропатченные системы будут продолжаться (высокая уверенность).
Эксплойты нацелены на две уязвимости SharePoint: CVE-2025-49706 (подмена) и CVE-2025-49704 (удалённое выполнение кода). Хакеры обходят исправления через CVE-2025-53771 и CVE-2025-53770.
Атака начинается с POST-запроса к конечной точке ToolPane. Это позволяет обойти аутентификацию и выполнить произвольный код. После компрометации развёртывается веб-шелл (например, spinstall0.aspx, spinstall.aspx), который похищает данные MachineKey.
Исследователь Rakesh Krishnan обнаружил, что во время эксплуатации запускаются три процесса Microsoft Edge: Network Utility Process, Crashpad Handler и GPU Process. Это имитирует легитимную активность для обхода песочниц. Веб-шеллы маскируют трафик командования под запросы Google Client Update Protocol (CUP), смешиваясь с фоновыми обновлениями.
Microsoft настоятельно рекомендует:
- Установить последние обновления для SharePoint Server Subscription Edition, 2019 и 2016.
- Сменить machine keys на серверах SharePoint.
- Перезапустить Internet Information Services (IIS).
- Развернуть Microsoft Defender для конечных точек или аналоги.
- Включить Antimalware Scan Interface (AMSI) в режиме Full Mode и Microsoft Defender Antivirus для всех локальных развёртываний.
В марте 2021 года китайская группа Silk Typhoon (Hafnium) использовала уязвимости нулевого дня в Exchange Server. Ранее в этом месяце итальянские власти арестовали китайца Сюй Цзевэя (Xu Zewei, 33 года). Его обвиняют в кибератаках на американские организации и госструктуры через уязвимости Exchange Server (ProxyLogon).
