Эксперты обнаружили более 17 000 серверов Microsoft SharePoint, доступных для атак из интернета. Среди них 840 систем подвержены критической уязвимости нулевого дня, которую уже активно эксплуатируют китайские хакерские группировки. Уязвимость, получившая идентификатор CVE-2025-53770 (ToolShell), стала причиной компрометации сотен организаций в государственном, финансовом, медицинском и образовательном секторах.
По данным исследования The Shadowserver Foundation, по крайней мере 20 серверов уже заражены веб-шеллами, что позволяет злоумышленникам удаленно выполнять произвольный код без аутентификации. Уязвимость получила максимально высокий балл 9.8 по шкале CVSS, что делает ее одной из самых опасных в текущем году. Microsoft подтвердила, что за атаками стоят три китайские группировки: Linen Typhoon (APT27), Violet Typhoon (APT31) и Storm-2603.
Активная эксплуатация началась 7 июля 2025 года, но уже через несколько недель количество атак резко возросло. Компания Eye Security, первой зафиксировавшая вторжения, сообщила о более чем 400 пострадавших организациях, однако реальные масштабы могут быть значительно больше из-за скрытого характера атак.
Среди жертв оказались ключевые американские ведомства, включая Национальную администрацию ядерной безопасности при Министерстве энергетики, Министерство внутренней безопасности, Департамент здравоохранения и социальных служб, а также Министерство образования. Также атакам подверглись региональные и муниципальные органы власти, что вызывает серьезные опасения относительно национальной безопасности.
Злоумышленники используют сложную цепочку уязвимостей, позволяющую полностью обойти механизмы аутентификации. Они отправляют специально сформированные POST-запросы к конечной точке ToolPane в SharePoint, после чего загружают вредоносные веб-шеллы, чаще всего под именами spinstall0.aspx и его вариантами. Эти шеллы дают злоумышленникам возможность кражи ASP.NET machine keys, что позволяет сохранять доступ к системам даже после установки исправлений.
Особую угрозу представляет группировка Storm-2603, которая помимо кражи данных начала использовать шифровальщик Warlock. Хакеры применяют такие инструменты, как Mimikatz для сбора учетных данных, а также PsExec для перемещения внутри сети, что свидетельствует о высоком уровне профессионализма и возможностях долгосрочного присутствия в инфраструктуре жертв.
Microsoft уже выпустила экстренные обновления для всех поддерживаемых версий SharePoint, однако эксперты предупреждают, что простого обновления недостаточно. Организации должны немедленно сменить machine keys, активировать Anti-Malware Scan Interface (AMSI) и провести полную проверку безопасности для выявления возможных компрометаций.
В ответ на ситуацию Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило CVE-2025-53770 в список Known Exploited Vulnerabilities, установив срочные сроки для устранения угрозы. Это подчеркивает серьезность ситуации и необходимость немедленных действий для защиты критически важных систем.
Сейчас в центре внимания остаются вопросы о том, насколько широко распространились атаки за пределами США и какие дополнительные меры могут предпринять организации, чтобы минимизировать риски. Учитывая активность группировок, угроза может сохраняться в течение длительного времени, а ее последствия могут оказаться еще более разрушительными.