Microsoft објави дека две познати кинески хакерски групи, Linen Typhoon и Violet Typhoon, заедно со уште една кинеска група позната како Storm-2603, активно ги искористуваат таканаречените „zero-day“ ранливости во SharePoint серверските системи. Овие напади, кои започнале уште на 7 јули, се насочени кон сервери достапни преку интернет, а зафатиле повеќе од 100 организации ширум светот, вклучувајќи владини институции, телекомуникациски компании и софтверски фирми. Microsoft итно ги повика корисниците на локалните SharePoint сервери да ги инсталираат најновите безбедносни ажурирања за да се заштитат од овие закани.
Според извештајот на Microsoft, хакерите ги користат ранливостите означени како CVE-2025-49706 (ранливост за лажирање) и CVE-2025-49704 (ранливост за далечинско извршување код), за да добијат неовластен пристап до SharePoint серверите. Овие две ранливости, заедно со нивните заобиколувања (CVE-2025-53770 и CVE-2025-53771), овозможуваат на напаѓачите да извршат злонамерен код и да инсталираат т.н. веб-шели (web shells) за одржување на постојан пристап до компромитираните системи. Microsoft нагласува дека овие напади не влијаат на SharePoint Online, кој е дел од Microsoft 365 и се хостира во облакот, туку само на локалните сервери.
Кои се Linen Typhoon, Violet Typhoon и Storm-2603?
Linen Typhoon, позната и како APT27, е хакерска група активна од 2012 година, која се фокусира на кражба на интелектуална сопственост од организации поврзани со влади, одбрана и човекови права. Според Microsoft, оваа група често користи постоечки експлоати за да компромитира системи, применувајќи т.н. „drive-by“ напади.
Violet Typhoon, или APT31, пак, е насочена кон шпионажа и од 2015 година таргетира поранешни владини и воени лица, невладини организации, медиуми, финансиски и здравствени институции во САД, Европа и Источна Азија. Третата група, Storm-2603, е помалку позната, но Microsoft ја поврзува со напади со ransomware, вклучувајќи ги Warlock и LockBit. Оваа група е привремено означена во таксономијата на Microsoft, а нејзините цели во овие напади сè уште не се целосно јасни.
Напаѓачите, според анализите, користат специјално креирани POST барања до ToolPane крајната точка на SharePoint за да ги искористат овие ранливости. По успешното пробивање, тие инсталираат веб-шели како „spinstall0.aspx“ и слични варијанти за да украдат клучеви на машините и да одржат долгорочен пристап до системите. Microsoft предупредува дека со брзото ширење на овие експлоати, други хакерски групи би можеле да ги интегрираат во своите напади, што ја прави ситуацијата уште поитна.
Реакција на Microsoft и безбедносната заедница
Microsoft реагираше брзо, објавувајќи безбедносни ажурирања за сите поддржани верзии на SharePoint Server (Subscription Edition, 2019 и 2016) на 19 јули. Компанијата исто така објави индикатори за компромитација (IOCs) за да им помогне на организациите да откријат дали нивните сервери се компромитирани. Меѓу овие индикатори се IP адресите 134.199.202.205 и 188.130.206.168, како и веб-шели именувани како spinstall0.aspx, spinstall1.aspx и слично.
Други безбедносни фирми, како Check Point и Eye Security, исто така пријавија напади уште од 7 јули, при што Eye Security забележала компромитирани 54 организации, вклучувајќи мултинационални компании и владини институции. CrowdStrike, пак, регистрираше стотици обиди за напади на повеќе од 160 клиентски околини од 18 јули. Американската агенција за сајбер безбедност (CISA) ја додаде ранливоста CVE-2025-53770 во својот каталог на познати експлоатирани ранливости, наредувајќи им на федералните агенции да ги применат закрпите во рок од еден ден по нивното објавување.
Поради сложеноста на нападите, експертите предупредуваат дека дури и по примена на закрпите, хакерите кои веќе добиле пристап можат да останат во системите, што налага темелна проверка на мрежите.
Чарлс Кармакал, главен технолошки директор на Mandiant Consulting (дел од Google Cloud), истакна дека барем еден од напаѓачите е поврзан со Кина и дека повеќе актери со различни мотиви ќе продолжат да ги искористуваат овие ранливости. „Ова е значителен проблем бидејќи експлоатацијата беше широко распространета пред да биде достапна закрпа“, рече тој, додавајќи дека организациите мора да дејствуваат брзо за да се заштитат.
Оваа содржина е генерирана со помош на вештачка интелигенција, но е внимателно проверена, уредена и дополнета од уредничкиот тим на IT.mk, со цел да обезбедиме точни, релевантни и квалитетни информации за читателите.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
