Китайские хакерские группировки активно эксплуатируют уязвимости SharePoint для распространения вымогателей

19 июля 2025 года Microsoft Security Response Center (MSRC) сообщил о текущих атаках на локальные серверы SharePoint, эксплуатирующих уязвимости CVE-2025-49706 (подмена данных) и CVE-2025-49704 (удаленное выполнение кода). Эти уязвимости затрагивают только локальные версии SharePoint и не распространяются на облачный SharePoint Online в Microsoft 365. Компания выпустила обновления безопасности для всех поддерживаемых версий SharePoint Server (Subscription Edition, 2019 и 2016), которые устраняют риски, связанные с этими уязвимостями. Microsoft настоятельно рекомендует клиентам немедленно установить обновления.

Обновления также затрагивают связанные уязвимости CVE-2025-53770 (аналогичную CVE-2025-49704) и CVE-2025-53771 (обход защиты, связанный с CVE-2025-49706). В настоящее время Microsoft зафиксировала активность двух китайских группировок, связанных с государственными структурами: Linen Typhoon и Violet Typhoon, а также третьей - Storm-2603, которая использует уязвимости для распространения вымогателей. Исследование других злоумышленников, возможно, вовлеченных в атаки, продолжается.

Microsoft отмечает, что из-за быстрого распространения эксплойтов уязвимости скоро станут частью стандартного арсенала киберпреступников, атакуя незащищенные SharePoint-системы. В блоге MSRC подробно описаны методы эксплуатации CVE-2025-49706 и CVE-2025-49704, включая тактики, техники и процедуры (TTP) злоумышленников. Информация будет дополняться по мере поступления новых данных.

Корпорация рекомендует клиентам использовать поддерживаемые версии локальных серверов SharePoint с актуальными обновлениями. Для предотвращения неавторизованных атак необходимо интегрировать и активировать Antimalware Scan Interface (AMSI) и Microsoft Defender Antivirus (или аналогичные решения) для всех локальных развертываний SharePoint. Также важно настроить AMSI в режиме Full Mode, сменить ASP.NET Machine Keys, перезапустить Internet Information Services (IIS) и развернуть Microsoft Defender for Endpoint.

Наблюдаемые тактики и техники

Microsoft зафиксировала, что злоумышленники проводят разведку и пытаются эксплуатировать уязвимости через POST-запросы к конечной точке ToolPane. После успешного обхода аутентификации и выполнения удаленного кода хакеры загружают веб-шелл, например, под именем spinstall0.aspx (или его вариациями: spinstall.aspx, spinstall1.aspx и т.д.). Этот скрипт извлекает данные MachineKey и отправляет их злоумышленнику, что позволяет украсть ключи шифрования.

Цепочка атаки Storm-2603

Атака начинается с эксплуатации уязвимостей SharePoint, затем злоумышленники выполняют команды через процесс w3wp.exe, отключают защиту Microsoft Defender через реестр, создают задания в планировщике и манипулируют IIS для загрузки вредоносных .NET-сборок. Для кражи учетных данных используется Mimikatz, а для перемещения по сети - PsExec и Impacket. В финале Storm-2603 изменяет групповые политики (GPO) для распространения Warlock.

Storm-2603 - новая группировка, предположительно базирующаяся в Китае, использует уязвимости SharePoint для кражи MachineKeys. Хотя ранее Storm-2603 распространяли вымогателей Warlock и Lockbit, их текущие цели пока не ясны.

Microsoft прогнозирует, что число атак будет расти, и призывает организации срочно принять защитные меры.

IPv4

• 104.238.159.149
• 131.226.2.6
• 134.199.202.205
• 188.130.206.168
• 65.38.121.198

Domains

• msupdate.updatemicfosoft.com
• update.updatemicfosoft.com

SHA256

• 1eb914c09c873f0a7bcf81475ab0f6bdfaccc6b63bf7e5f2dbf19295106af192
• 24480dbe306597da1ba393b6e30d542673066f98826cc07ac4b9033137f37dbf
• 445a37279d3a229ed18513e85f0c8d861c6f560e0f914a5869df14a74b679b86
• 4c1750a14915bf2c0b093c2cb59063912dfa039a2adfe6d26d6914804e2ae928
• 567cb8e8c8bd0d909870c656b292b57bcb24eb55a8582b884e0a228e298e7443
• 62881359e75c9e8899c4bc9f452ef9743e68ce467f8b3e4398bebacde9550dea
• 6753b840cec65dfba0d7d326ec768bff2495784c60db6a139f51c5e83349ac4d
• 6b273c2179518dacb1218201fd37ee2492a5e1713be907e69bf7ea56ceca53a5
• 6f6db63ece791c6dc1054f1e1231b5bbcf6c051a49bad0784569271753e24619
• 7ae971e40528d364fa52f3bb5e0660ac25ef63e082e3bbd54f153e27b31eae68
• 83705c75731e1d590b08f9357bc3b0f04741e92a033618736387512b40dab060
• 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514
• b180ab0a5845ed619939154f67526d2b04d28713fcc1904fbd666275538f431d
• b5a78616f709859a0d9f830d28ff2f9dbbb2387df1753739407917e96dadf6b0
• c27b725ff66fdfb11dd6487a3815d1d1eba89d61b0e919e4d06ed3ac6a74fe94
• c2c1fec7856e8d49f5d49267e69993837575dbbec99cd702c5be134a85b2c139
• d6da885c90a5d1fb88d0a3f0b5d9817a82d5772d5510a0773c80ca581ce2486d
• f54ae00a9bae73da001c4d3d690d26ddf5e8e006b5562f936df472ec5e299441
• ffbc9dfc284b147e07a430fe9471e66c716a84a1f18976474a54bee82605fa9a