Китайские APT-группы массово эксплуатируют критические уязвимости ToolShell в Microsoft SharePoint

CyberSecureFox 🦊

Специалисты по информационной безопасности фиксируют масштабную кампанию китайских хакерских группировок, использующих цепочку критических уязвимостей нулевого дня в Microsoft SharePoint. Атаки затронули уже более 400 серверов и 148 организаций по всему миру, включая правительственные структуры США.

Эволюция угрозы ToolShell: от исследования до массовых атак

Цепочка уязвимостей, получившая кодовое название ToolShell, впервые была продемонстрирована исследователями Viettel Cyber Security на хакерском соревновании Pwn2Own Berlin в мае 2025 года. Специалисты объединили два критических дефекта — CVE-2025-49706 и CVE-2025-49704 — для выполнения атак удаленного исполнения кода (RCE).

Несмотря на выпуск исправлений Microsoft в июле 2025 года, злоумышленники быстро разработали новые эксплоиты для обхода защитных мер. Это привело к появлению двух дополнительных уязвимостей: CVE-2025-53770 с критическим рейтингом 9,8 баллов по шкале CVSS и CVE-2025-53771 с оценкой 6,3 балла.

Масштаб киберугрозы и пострадавшие организации

Аналитики ведущих компаний кибербезопасности, включая Cisco Talos, Check Point, CrowdStrike, Palo Alto Networks и SentinelOne, подтверждают активную эксплуатацию уязвимостей с 7 июля 2025 года. Основными целями стали организации правительственного, телекоммуникационного и IT-секторов в Северной Америке и Западной Европе.

Наиболее резонансным случаем стала компрометация сети Национального управления по ядерной безопасности США (NNSA) — ведомства, ответственного за хранение ядерных запасов страны. Представители Министерства энергетики США подтвердили инцидент, произошедший 18 июля, отметив минимальное воздействие благодаря использованию облачной инфраструктуры Microsoft M365.

Китайские APT-группы за атаками ToolShell

Эксперты Microsoft и Mandiant Consulting идентифицировали три китайские группировки, активно использующие уязвимости ToolShell:

Linen Typhoon (также известная как APT27, Bronze Union, Emissary Panda) — одна из наиболее активных китайских APT-групп, специализирующихся на долгосрочном шпионаже.

Violet Typhoon (APT31, Bronze Vinewood, Judgement Panda) — группировка, связанная с китайскими спецслужбами и нацеленная на государственные структуры.

Storm-2603 — менее известная, но не менее опасная группировка, расширившая свой арсенал за счет эксплоитов ToolShell.

Технические аспекты и меры защиты

Microsoft выпустила экстренные патчи для всех затронутых версий SharePoint, включая SharePoint Subscription Edition, SharePoint 2019 и SharePoint 2016. Компания настоятельно рекомендует администраторам не только установить обновления, но и выполнить ротацию ключей безопасности.

Критически важным является интеграция и активация Antimalware Scan Interface (AMSI) совместно с Microsoft Defender Antivirus в режиме Full Mode для всех локальных развертываний SharePoint.

Прогнозы развития угрозы

Ситуация осложняется появлением на GitHub публичного proof-of-concept эксплоита для CVE-2025-53770. Специалисты прогнозируют значительное расширение круга злоумышленников, способных проводить атаки с использованием ToolShell в ближайшем будущем.

Инцидент с уязвимостями ToolShell демонстрирует критическую важность своевременного обновления корпоративных систем и необходимость многоуровневой защиты инфраструктуры. Организациям следует незамедлительно применить выпущенные исправления, провести аудит безопасности SharePoint-серверов и усилить мониторинг сетевой активности для выявления признаков компрометации.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.