Microsoft обвинил китайских хакеров в масштабных атаках на SharePoint

Microsoft обвинил китайских хакеров в масштабных атаках на SharePoint

Изображение: Clint Patterson (unsplash)

Компания Microsoft обнародовала результаты расследования, согласно которым за масштабными атаками на уязвимые версии SharePoint стоят кибергруппировки, связанные с государственными структурами Китая. Эксплойты, использованные в этих операциях, объединены под кодовым названием ToolShell и позволяют удалённо проникать в корпоративные серверы по всему миру.

Как указано в опубликованном отчёте, атаки были зафиксированы на десятках локальных серверов SharePoint, открытых в интернет. По данным Microsoft, к действиям причастны сразу три известные киберструктуры — Linen Typhoon, Violet Typhoon и Storm-2603. Все они ранее фигурировали в аналитических сводках как участники кибершпионажа с координацией из Китая.

Технический директор Mandiant Consulting, входящего в структуру Google Cloud, Чарльз Кармакал подтвердил в интервью изданию BleepingComputer, что среди хакеров, задействовавших уязвимость в начальной фазе атак, присутствует как минимум одна группировка с китайским происхождением. По его словам, масштаб текущей активности свидетельствует о том, что в эксплуатации участвуют сразу несколько преступных формирований.

Первые атаки были обнаружены специалистами Eye Security — голландской компании, специализирующейся на защите от цифровых угроз. Она заявила о выявлении уязвимостей CVE-2025-49706 и CVE-2025-49704, использованных в атаках нулевого дня. Эти уязвимости были впервые продемонстрированы исследователями Viettel Cyber Security в ходе конкурса Pwn2Own в Берлине. По данным Eye Security, под удар попали не менее 54 организаций, включая транснациональные корпорации и государственные учреждения.

Схожие данные приводит и компания Check Point. Она сообщила, что 7 июля впервые зафиксировала признаки активной эксплуатации уязвимостей, которые затронули телекоммуникационные компании, государственные органы и разработчиков программного обеспечения в Северной Америке и Западной Европе.

В Microsoft уточнили, что оперативно устранили угрозы в рамках июльского выпуска обновлений безопасности. Для ликвидации последствий атак были задействованы дополнительные идентификаторы CVE-2025-53770 и CVE-2025-53771. Уязвимости оказались столь опасными, что использовались даже на уже обновлённых серверах, что вынудило корпорацию выпустить внеплановые патчи для версий SharePoint Subscription Edition, SharePoint 2019 и SharePoint 2016. Обе критические уязвимости давали возможность удалённого исполнения кода.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: