В последние дни эксперты в сфере информационной безопасности наблюдают рост активности злоумышленников, использующих новую цепочку эксплойтов под названием ToolShell. Атаки направлены на локальные серверы Microsoft SharePoint, использующие неисправленные уязвимости, включая два нулевых дня (zero-day). Лаборатория FortiGuard Labs подтверждает, что злоумышленники активно используют комбинацию из четырех уязвимостей: двух ранее известных (CVE-2025-49704 и CVE-2025-49706) и двух новых (CVE-2025-53770 и CVE-2025-53771).
Описание
Агентство кибербезопасности и инфраструктурной безопасности США (CISA) уже добавило эти уязвимости в каталог Known Exploited Vulnerabilities, что подчеркивает серьезность угрозы. Помимо известного метода эксплуатации через файл "spinstall0.aspx", злоумышленники применяют другие техники для внедрения вредоносного кода и получения контроля над серверами.
Среди инструментов, используемых атакующими, выделяется GhostWebShell - веб-шелл на основе ASP.NET, предназначенный для удаленного выполнения команд и поддержания доступа к системе. Этот инструмент использует Base64-кодирование для маскировки вредоносного кода, а также техники рефлексии для временного изменения внутренних параметров BuildManager. Это позволяет обходить стандартные проверки безопасности и внедрять вредоносный код без оставления явных следов на диске.
GhostWebShell предоставляет злоумышленникам интерактивный доступ к командной строке через HTTP, передавая команды в параметре ?cmd=, после чего выполняет их через cmd.exe и возвращает результат в формате HTML. Для маскировки активности шелл также минимизирует ошибки, передавая их только в заголовках HTTP, что усложняет обнаружение атаки стандартными средствами мониторинга.
Еще один инструмент, используемый в кампании - KeySiphon, который собирает критически важную информацию о системе, включая параметры шифрования SharePoint. Злоумышленники могут использовать эти данные для подделки аутентификационных токенов, модификации ViewState и получения доступа к защищенным данным в рамках домена приложения.
Эксперты FortiGuard Labs отмечают, что SharePoint остается одной из ключевых целей для киберпреступников из-за своей распространенности и интеграции в корпоративные инфраструктуры.
Активное использование нулевых уязвимостей подтверждает, что злоумышленники быстро адаптируются к новым возможностям атак. Организациям, использующим SharePoint, рекомендуется как можно скорее принять меры для снижения рисков, особенно учитывая, что атаки уже фиксируются в реальных инцидентах.
Индикаторы компрометации
IPv4
- 146.190.224.250
- 146.70.41.178
- 157.245.126.186
- 159.203.88.182
- 159.89.10.213
- 165.154.196.91
- 165.232.162.99
- 185.169.0.111
- 203.160.80.77
- 203.160.86.111
- 205.198.84.197
SHA256
- 0548fad567c22ccf19031671f7ec1f53b735abf93dc11245bc9ea4dfd463fe40
- 10e01ce96889c7b4366cfa1e7d99759e4e2b6e5dfe378087d9e836b7278abfb6
- 3adbebbc2093615bb9210bfdb8ebb0841c62426bee8820f86ff0a64d15206041
- 7e3fff35ef909c556bdf6d9a63f0403718bf09fecf4e03037238176e86cf4e98
