Специалисты по информационной безопасности фиксируют масштабную кампанию китайских хакерских группировок, использующих цепочку критических уязвимостей нулевого дня в Microsoft SharePoint. Атаки затронули уже более 400 серверов и 148 организаций по всему миру, включая правительственные структуры США.
Эволюция угрозы ToolShell: от исследования до массовых атак
Цепочка уязвимостей, получившая кодовое название ToolShell, впервые была продемонстрирована исследователями Viettel Cyber Security на хакерском соревновании Pwn2Own Berlin в мае 2025 года. Специалисты объединили два критических дефекта — CVE-2025-49706 и CVE-2025-49704 — для выполнения атак удаленного исполнения кода (RCE).
Несмотря на выпуск исправлений Microsoft в июле 2025 года, злоумышленники быстро разработали новые эксплоиты для обхода защитных мер. Это привело к появлению двух дополнительных уязвимостей: CVE-2025-53770 с критическим рейтингом 9,8 баллов по шкале CVSS и CVE-2025-53771 с оценкой 6,3 балла.
Масштаб киберугрозы и пострадавшие организации
Аналитики ведущих компаний кибербезопасности, включая Cisco Talos, Check Point, CrowdStrike, Palo Alto Networks и SentinelOne, подтверждают активную эксплуатацию уязвимостей с 7 июля 2025 года. Основными целями стали организации правительственного, телекоммуникационного и IT-секторов в Северной Америке и Западной Европе.
Наиболее резонансным случаем стала компрометация сети Национального управления по ядерной безопасности США (NNSA) — ведомства, ответственного за хранение ядерных запасов страны. Представители Министерства энергетики США подтвердили инцидент, произошедший 18 июля, отметив минимальное воздействие благодаря использованию облачной инфраструктуры Microsoft M365.
Китайские APT-группы за атаками ToolShell
Эксперты Microsoft и Mandiant Consulting идентифицировали три китайские группировки, активно использующие уязвимости ToolShell:
Linen Typhoon (также известная как APT27, Bronze Union, Emissary Panda) — одна из наиболее активных китайских APT-групп, специализирующихся на долгосрочном шпионаже.
Violet Typhoon (APT31, Bronze Vinewood, Judgement Panda) — группировка, связанная с китайскими спецслужбами и нацеленная на государственные структуры.
Storm-2603 — менее известная, но не менее опасная группировка, расширившая свой арсенал за счет эксплоитов ToolShell.
Технические аспекты и меры защиты
Microsoft выпустила экстренные патчи для всех затронутых версий SharePoint, включая SharePoint Subscription Edition, SharePoint 2019 и SharePoint 2016. Компания настоятельно рекомендует администраторам не только установить обновления, но и выполнить ротацию ключей безопасности.
Критически важным является интеграция и активация Antimalware Scan Interface (AMSI) совместно с Microsoft Defender Antivirus в режиме Full Mode для всех локальных развертываний SharePoint.
Прогнозы развития угрозы
Ситуация осложняется появлением на GitHub публичного proof-of-concept эксплоита для CVE-2025-53770. Специалисты прогнозируют значительное расширение круга злоумышленников, способных проводить атаки с использованием ToolShell в ближайшем будущем.
Инцидент с уязвимостями ToolShell демонстрирует критическую важность своевременного обновления корпоративных систем и необходимость многоуровневой защиты инфраструктуры. Организациям следует незамедлительно применить выпущенные исправления, провести аудит безопасности SharePoint-серверов и усилить мониторинг сетевой активности для выявления признаков компрометации.
