Компания ESET Research зафиксировала массовые атаки с использованием недавно обнаруженных уязвимостей ToolShell в Microsoft SharePoint Server, которые активно эксплуатируются злоумышленниками с 17 июля 2025 года. Уязвимости, получившие идентификаторы CVE-2025-53770 (удаленное выполнение кода) и CVE-2025-53771 (подмена сервера), позволяют злоумышленникам получать несанкционированный доступ к защищенным системам и красть конфиденциальные данные.
Описание
Microsoft официально подтвердила факт эксплуатации этих уязвимостей 19 июля, отметив, что атакам подвержены локальные версии SharePoint (Subscription Edition, 2019 и 2016), тогда как SharePoint Online в составе Microsoft 365 остается защищенным.
Эксперты ESET отмечают, что в атаках задействована цепочка из четырех уязвимостей, включая уже закрытые CVE-2025-49704 и CVE-2025-49706, а также две новые - CVE-2025-53770 и CVE-2025-53771, патчи для которых были выпущены 22 июля. Уязвимости позволяют злоумышленникам обходить многофакторную аутентификацию (MFA) и единый вход (SSO), после чего внедрять вредоносные веб-шеллы для кражи информации. Одним из часто используемых скриптов является spinstall0.aspx, который эксперты ESET классифицируют как MSIL/Webshell.JS. Также были зафиксированы попытки внедрения других шеллов, таких как ghostfile346.aspx и ghostfile913.aspx, способных выполнять произвольные команды через cmd.exe.
Первый зарегистрированный случай попытки эксплуатации уязвимости Sharepoint/Exploit.CVE-2025-49704 был отмечен 17 июля в Германии, но атака была успешно заблокирована. Первый успешный инцидент с внедрением вредоносного кода зафиксирован на следующий день в Италии. Согласно данным ESET, активные атаки с использованием ToolShell наблюдаются по всему миру, причем наибольшее количество инцидентов зарегистрировано в США (13,3% от общего числа).
Мониторинг атак показал, что злоумышленники действуют с широкого спектра IP-адресов, включая 96.9.125[.]147, 107.191.58[.]76 и 154.223.19[.]106. Наиболее активные атаки происходили в период с 17 по 22 июля, причем пиковая нагрузка наблюдалась 21 июля. В частности, IP-адрес 154.223.19[.]106 использовался для атак в течение 29 часов, а 206.166.251[.]228 - в течение 24 часов.
Особую тревогу вызывает тот факт, что к эксплуатации уязвимостей подключились китайские APT-группы, в том числе LuckyMouse, известные своей активностью против правительственных структур и телекоммуникационных компаний. ESET зафиксировала использование бэкдора, связанного с LuckyMouse, на одном из зараженных компьютеров во Вьетнаме. Также среди жертв атак оказались правительственные организации, которые традиционно являются целями китайских хакерских группировок.
Поскольку информация об уязвимостях стала достоянием общественности, эксперты прогнозируют рост числа атак со стороны различных групп, включая киберпреступников и государственные хакерские структуры. В связи с этим Microsoft рекомендует пользователям SharePoint Server принять ряд мер для защиты: использовать только поддерживаемые версии ПО, своевременно устанавливать обновления безопасности, активировать Antimalware Scan Interface и регулярно менять ASP.NET machine keys.
Атаки с использованием ToolShell продолжаются, и их интенсивность, вероятно, будет расти. Организациям, использующим уязвимые версии SharePoint, необходимо срочно принять меры для минимизации рисков. Промедление с установкой патчей и настройкой защиты может привести к серьезным последствиям, включая утечки данных и полный компромисс корпоративных сетей.
Индикаторы компрометации
IPv4
- 103.151.172.92
- 104.238.159.149
- 107.191.58.76
- 109.105.193.76
- 124.56.42.75
- 139.59.11.66
- 141.164.60.10
- 149.28.17.188
- 154.223.19.106
- 162.248.74.92
- 173.239.247.32
- 2.56.190.139
- 206.166.251.228
- 38.54.106.11
- 45.191.66.77
- 45.77.155.170
- 64.176.50.109
- 83.136.182.237
- 96.9.125.147
MD5
- 02b4571470d83163d103112f07f1c434
SHA1
- f5b60a8ead96703080e73a1f79c3e70ff44df271
SHA256
- 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514
