Microsoft je otkrio da je jedan od haker koji stoje iza aktivnog iskorištavanja nedostataka u SharePointu postavljanje ransomwarea Warlock na ciljane sisteme.
Tehnološki gigant je, u ažuriranju objavljenom u srijedu, rekao da su nalazi zasnovani na “proširenoj analizi i obavještajnim podacima o prijetnjama iz našeg kontinuiranog praćenja aktivnosti iskorištavanja Storm-2603 “.
Prijetnja koja se pripisuje finansijski motiviranoj aktivnosti je osumnjičeni prijetnja sa sjedištem u Kini, za kojeg se zna da je u prošlosti instalirao ransomware Warlock i LockBit.
Lanci napada uključuju iskorištavanje CVE-2025-49706, ranjivosti lažiranja identiteta, i CVE-2025-49704, ranjivosti udaljenog izvršavanja koda, ciljajući nezakrpljene lokalne SharePoint servere za implementaciju web ljuske spinstall0.aspx.
„Ovaj početni pristup se koristi za izvršavanje komandi pomoću procesa w3wp.exe koji podržava SharePoint“, rekao je Microsoft. „Storm-2603 zatim pokreće niz komandi za otkrivanje, uključujući whoami, kako bi nabrojao kontekst korisnika i potvrdio nivoe privilegija.“
Napade karakterizira korištenje cmd.exe i batch skripti dok napadač dublje prodire u ciljanu mrežu, dok se services.exe iskorištavaju za isključivanje zaštite Microsoft Defendera mijenjanjem Windows registra.
Pored korištenja spinstall0.aspx za perzistentnost, uočeno je da Storm-2603 kreira planirane zadatke i mijenja komponente Internet Information Services (IIS) kako bi pokrenuo ono što je Microsoft opisao kao sumnjive .NET sklopove. Ove radnje su osmišljene kako bi se osigurao kontinuirani pristup čak i ako žrtve preduzmu korake za blokiranje početnih vektora pristupa.
Neki od drugih značajnih aspekata napada uključuju raspoređivanje Mimikatza za prikupljanje akreditiva ciljanjem memorije LSASS (Local Security Authority Subsystem Service ), a zatim nastavkom lateralnog kretanja pomoću PsExec-a i Impacket alata.
„Zatim je uočeno kako Storm-2603 modificira objekte grupnih pravila (GPO) kako bi distribuirao Warlock ransomware u kompromitovanim okruženjima“, saopštio je Microsoft.
Kao mjere ublažavanja, korisnicima se preporučuje da slijede sljedeće korake –
- Nadogradite na podržane verzije lokalnog Microsoft SharePoint Servera
- Primijenite najnovija sigurnosna ažuriranja
- Provjerite je li Antimalware Scan Interface uključen i ispravno konfigurisan
- Implementirajte Microsoft Defender za krajnje tačke ili ekvivalentna rješenja
- Rotiranje ključeva mašine SharePoint Server ASP.NET
- Ponovo pokrenite IIS na svim SharePoint serverima pomoću iisreset.exe (Ako se AMSI ne može omogućiti, preporučuje se rotiranje ključeva i ponovno pokretanje IIS-a nakon instaliranja novog sigurnosnog ažuriranja)
- Implementirajte plan odgovora na incidente
Razvoj događaja dolazi u trenutku kada su nedostaci SharePoint Servera postali predmet masovne eksploatacije, što je već odnijelo najmanje 400 žrtava. Linen Typhoon (poznat i kao APT27) i Violet Typhoon (poznat i kao APT31) su još dvije kineske hakerske grupe koje su povezane sa zlonamjernom aktivnošću. Kina je negirala optužbe.
„Sajber sigurnost je zajednički izazov s kojim se suočavaju sve zemlje i treba se rješavati zajednički kroz dijalog i saradnju“, rekao je glasnogovornik kineskog Ministarstva vanjskih poslova Guo Jiakun . „Kina se protivi i bori protiv hakerskih aktivnosti u skladu sa zakonom. Istovremeno, protivimo se klevetanju i napadima na Kinu pod izgovorom pitanja sajber sigurnosti.“
Ažuriranje
Firma za sajber sigurnost ESET saopštila je da je globalno primijetila aktivnost iskorištavanja ToolShella , pri čemu Sjedinjene Američke Države čine 13,3% svih napada, prema njihovim telemetrijskim podacima. Druge istaknute mete uključuju Ujedinjeno Kraljevstvo, Italiju, Portugal, Francusku i Njemačku.
„Žrtve ToolShell napada uključuju nekoliko visokovrijednih vladinih organizacija koje su dugogodišnje mete ovih grupa“, saopštila je slovačka kompanija . „Budući da je mačka iz vreće sada izašla iz vreće, očekujemo da će mnogo više oportunističkih napadača iskoristiti sisteme bez zakrpa.“
Podaci Check Point Researcha otkrili su velike pokušaje eksploatacije u toku. Zaključno sa 24. julom 2025. godine, otkriveno je više od 4600 pokušaja kompromitacije u preko 300 organizacija širom svijeta, uključujući vladu, softver, telekomunikacije, finansijske usluge, poslovne usluge i sektore robe široke potrošnje.
„Uzbunjujuće je to što vidimo da napadači tokom kampanje koriste i poznate ranjivosti Ivanti EPMM-a“, saopštila je kompanija Check Point Research .
WithSecureova analiza ToolShell napada otkrila je i primjenu Godzilla web ljuske, što sugerira da bi aktivnost mogla biti povezana s prethodnom kampanjom neimenovanog aktera prijetnje u decembru 2024. godine koji je kao oružje koristio javno objavljene ASP.NET ključeve mašina.
„Jedan od primarnih ciljeva trenutne kampanje je krađa ASP.NET mašinskih ključeva kako bi se održao pristup SharePoint serveru čak i nakon ažuriranja zakrpa“, rekao je švedski dobavljač sigurnosnih rješenja .
Osim toga, napadi su utrli put za druge korisne sadržaje kao što su sljedeći –
- Informacije, za prikupljanje sistemskih podataka i liste pokrenutih procesa
- RemoteExec, za izvršavanje naredbi putem cmd.exe i vraćanje odgovora na izvršenje napadaču
- AsmLoader, za pokretanje shellcode-a unutar pokrenutog procesa (IIS worker) ili udaljenog procesa
- Prilagođeni ASP.NET MachineKey kradljivac, sličan spinstall0.aspx, koji prikuplja MachineKey komponente, zajedno s nazivom mašine i korisničkim imenom.
- BadPotato, za eskalaciju privilegija
“Korištenje i implementacija ovih podataka sugerišu da je u ovu aktivnost vjerovatno uključen akter prijetnje koji govori kineski, međutim, konačna atribucija se u ovom trenutku ne može izvršiti isključivo na osnovu ovih indikatora”, saopštio je WithSecure.
(Priča je ažurirana nakon objavljivanja kako bi uključila nove uvide iz ESET-a, Check Point Researcha i WithSecurea.)
Izvor:The Hacker News
