Експерти з кібербезпеки фіксують критичну ситуацію у сфері корпоративної безпеки: китайські хакерські угруповання провадять масштабну кампанію проти серверів Microsoft SharePoint, використовуючи ланцюжок критичних zero-day уразливостей. Наразі під загрозою опинилися понад 400 серверів та 148 організацій по всьому світу, включаючи урядові структури Сполучених Штатів.
Генеза загрози: від дослідницького проекту до глобальної кіберзагрози
Комплекс уразливостей, що отримав кодову назву ToolShell, вперше був представлений фахівцями Viettel Cyber Security під час змагань Pwn2Own Berlin у травні 2025 року. Дослідники продемонстрували можливість поєднання двох критичних дефектів безпеки – CVE-2025-49706 та CVE-2025-49704 – для здійснення атак віддаленого виконання коду.
Незважаючи на випуск Microsoft відповідних патчів у липні 2025 року, зловмисники швидко адаптувалися та розробили нові експлойти для обходу захисних механізмів. Це призвело до виявлення двох додаткових критичних уразливостей: CVE-2025-53770 з максимальним рейтингом 9,8 балів за шкалою CVSS та CVE-2025-53771 з оцінкою 6,3 балла.
Масштаби інциденту та постраждалі організації
Провідні компанії у сфері кібербезпеки, включаючи Cisco Talos, Check Point, CrowdStrike, Palo Alto Networks та SentinelOne, підтверджують активну експлуатацію уразливостей з 7 липня 2025 року. Основними цілями стали організації урядового, телекомунікаційного та IT-секторів у Північній Америці та Західній Європі.
Найбільш резонансним випадком стала компрометація мережі Національного управління з ядерної безпеки США (NNSA) – відомства, відповідального за зберігання ядерних запасів країни. Представники Міністерства енергетики США підтвердили інцидент, що стався 18 липня, зазначивши мінімальний вплив завдяки використанню хмарної інфраструктури Microsoft M365.
Ідентифікація загроз: китайські APT-угруповання
Аналітики Microsoft та Mandiant Consulting ідентифікували три китайські хакерські угруповання, що активно використовують уразливості ToolShell:
Linen Typhoon (відома також як APT27, Bronze Union, Emissary Panda) – одна з найактивніших китайських APT-груп, що спеціалізується на довгостроковому шпигунстві та збиранні розвідувальної інформації.
Violet Typhoon (APT31, Bronze Vinewood, Judgement Panda) – угруповання, пов’язане з китайськими спецслужбами, яке орієнтується на державні структури та критично важливу інфраструктуру.
Storm-2603 – менш відоме, але не менш небезпечне угруповання, що розширило свій арсенал за рахунок експлойтів ToolShell.
Технічні аспекти та рекомендації щодо захисту
Microsoft випустила екстрені патчі для всіх уражених версій SharePoint, включаючи SharePoint Subscription Edition, SharePoint 2019 та SharePoint 2016. Компанія наполегливо рекомендує адміністраторам не лише встановити оновлення, але й виконати ротацію ключів безпеки.
Критично важливим є інтеграція та активація Antimalware Scan Interface (AMSI) разом з Microsoft Defender Antivirus у режимі Full Mode для всіх локальних розгортань SharePoint. Це забезпечить додатковий рівень захисту від шкідливого програмного забезпечення.
Прогнози розвитку ситуації
Ситуація ускладнюється появою на GitHub публічного proof-of-concept експлойта для CVE-2025-53770. Фахівці прогнозують значне розширення кола зловмисників, здатних проводити атаки з використанням ToolShell у найближчому майбутньому.
Інцидент з уразливостями ToolShell демонструє критичну важливість своєчасного оновлення корпоративних систем та необхідність багаторівневого захисту інфраструктури. Організаціям слід негайно застосувати випущені виправлення, провести аудит безпеки SharePoint-серверів та посилити моніторинг мережевої активності для виявлення ознак компрометації. Проактивний підхід до кібербезпеки залишається найефективнішим способом протидії сучасним кіберзагрозам.