Группировка Storm-2603, подозреваемая в связях с Китаем, массово атакует уязвимые локальные серверы SharePoint. Финансово мотивированные злоумышленники используют две критические уязвимости — CVE-2025-49706 (спуфинг) и CVE-2025-49704 (удаленное выполнение кода) — для внедрения вредоносного веб-шелла spinstall0.aspx. Microsoft подтверждает крупномасштабную эксплуатацию этих брешей.
Атака начинается с использования процесса w3wp.exe для выполнения команд через SharePoint. Злоумышленники немедленно проводят разведку, запуская команды типа
Ключевой этап — обход защиты. Storm-2603 злоупотребляет процессом services.exe, отключая Microsoft Defender через прямое редактирование реестра Windows. Для обеспечения устойчивого доступа применяются множественные методы: сохранение веб-шелла spinstall0.aspx, создание заданий планировщика и модификация компонентов IIS (Internet Information Services) для запуска подозрительных.NET-сборок.
Следующий шаг — кража учетных данных. Атакующие развертывают Mimikatz, атакуя память процесса LSASS (Local Security Authority Subsystem Service). Для перемещения по сети используются PsExec и инструменты Impacket toolkit. Финал — модификация объектов групповой политики (GPO) и массовое распространение вымогателя Warlock.
Microsoft подтверждает: не менее 400 организаций уже стали жертвами. В атаках также замешаны другие китайские группы — Linen Typhoon (APT27) и Violet Typhoon (APT31). Китай решительно отвергает обвинения. Официальный представитель МИД КНР Го Цзякун заявил: «Кибербезопасность — общая проблема всех стран, решать ее нужно совместно через диалог. Китай законно противодействует хакерским атакам и выступает против клеветы под предлогом киберугроз».
Для защиты Microsoft настоятельно рекомендует немедленно обновить SharePoint, сгенерировать machine keys и перезапустить IIS на всех серверах командой iisreset.exe. Если AMSI недоступен, обновление ключей и перезапуск IIS должны следовать после установки патча. Разработка плана реагирования на инциденты обязательна.
Изображение носит иллюстративный характер
Атака начинается с использования процесса w3wp.exe для выполнения команд через SharePoint. Злоумышленники немедленно проводят разведку, запуская команды типа
whoami для оценки уровня привилегий. Затем с помощью cmd.exe и пакетных скриптов они углубляются в корпоративную сеть. Ключевой этап — обход защиты. Storm-2603 злоупотребляет процессом services.exe, отключая Microsoft Defender через прямое редактирование реестра Windows. Для обеспечения устойчивого доступа применяются множественные методы: сохранение веб-шелла spinstall0.aspx, создание заданий планировщика и модификация компонентов IIS (Internet Information Services) для запуска подозрительных.NET-сборок.
Следующий шаг — кража учетных данных. Атакующие развертывают Mimikatz, атакуя память процесса LSASS (Local Security Authority Subsystem Service). Для перемещения по сети используются PsExec и инструменты Impacket toolkit. Финал — модификация объектов групповой политики (GPO) и массовое распространение вымогателя Warlock.
Microsoft подтверждает: не менее 400 организаций уже стали жертвами. В атаках также замешаны другие китайские группы — Linen Typhoon (APT27) и Violet Typhoon (APT31). Китай решительно отвергает обвинения. Официальный представитель МИД КНР Го Цзякун заявил: «Кибербезопасность — общая проблема всех стран, решать ее нужно совместно через диалог. Китай законно противодействует хакерским атакам и выступает против клеветы под предлогом киберугроз».
Для защиты Microsoft настоятельно рекомендует немедленно обновить SharePoint, сгенерировать machine keys и перезапустить IIS на всех серверах командой iisreset.exe. Если AMSI недоступен, обновление ключей и перезапуск IIS должны следовать после установки патча. Разработка плана реагирования на инциденты обязательна.
