По информации ИБ-специалистов, сразу несколько китайских хак-групп используют цепочку уязвимостей нулевого дня в Microsoft SharePoint в своих атаках. В частности стало известно, что злоумышленники скомпрометировали сеть Национального управления по ядерной безопасности США.
ToolShell
Цепочка 0-day уязвимостей в SharePoint получила название ToolShell и впервые была продемонстрирована на хакерском соревновании Pwn2Own Berlin в мае 2025 года. Тогда специалисты из Viettel Cyber Security объединили друг с другом два дефекта (CVE-2025-49706 и CVE-2025-49704) для осуществления RCE-атаки.
Хотя в июле 2025 года разработчики Microsoft выпустили патчи для обеих уязвимостей ToolShell, злоумышленники сумели обойти исправления с помощью новых эксплоитов.
В результате новые уязвимости получили идентификаторы CVE-2025-53770 (9,8 балла по шкале CVSS; обход патча для CVE-2025-49704) и CVE-2025-53771 (6,3 балла по шкале CVSS; обход патча для CVE-2025-49706). Еще на прошлой неделе аналитики компании Eye Security предупредили, что свежие проблемы уже применяются для атак на on-premises серверы SharePoint.
В итоге разработчики Microsoft уже выпустили экстренные патчи для обеих RCE-проблем, повторно исправив уязвимости в SharePoint Subscription Edition, SharePoint 2019 и SharePoint 2016:
- KB5002754для Microsoft SharePoint Server 2019 Core и KB5002753 для языкового пакета Microsoft SharePoint Server 2019;
- KB5002760для Microsoft SharePoint Enterprise Server 2016 и KB5002759 для языкового пакета Microsoft SharePoint Enterprise Server 2016;
- KB5002768для Microsoft SharePoint Subscription Edition.
Кроме того, после установки исправлений Microsoft настоятельно рекомендует администраторам провести ротацию ключей. Также настоятельно рекомендуется интегрировать и включить Antimalware Scan Interface (AMSI) и Microsoft Defender Antivirus (или другие аналогичные решения) для всех on-premises развертываний SharePoint и настроить AMSI в Full Mode.
Атаки
Как сообщается теперь в многочисленных отчетах специалистов, в настоящее время от атак уже пострадали десятки организаций по всему миру. К примеру, отчеты об эксплуатации этих багов опубликовали компании Cisco Talos, Censys, Check Point, CrowdStrike, Palo Alto Networks, Qualys, SentinelOne, Tenable, Trend Micro и так далее.
В свою очередь, эксперты Microsoft пишут, что свежие уязвимости взяты на вооружение китайскими APT-группировками Linen Typhoon (она же APT27, Bronze Union, Emissary Panda, Iodine, Lucky Mouse, Red Phoenix и UNC215), Violet Typhoon (она же APT31, Bronze Vinewood, Judgement Panda, Red Keres и Zirconium) и третьей китайской хак-группой — Storm-2603. Информацию об атаках китайских хакеров на SharePoint подтверждают и специалисты Google Cloud из Mandiant Consulting.
При этом, по данным специалистов компании Check Point, первые признаки эксплуатации уязвимостей были обнаружены еще 7 июля 2025 года. Злоумышленники атаковали десятки организаций в правительственном, телекоммуникационном и ИТ-секторах в странах Северной Америки и Западной Европы.
В Microsoft поделились следующими индикаторами компрометации (IOC), которые помогут защитникам выявить взломанные серверы SharePoint:
- 199.202[.]205: IP-адрес, эксплуатирующий уязвимости SharePoint;
- 238.159[.]149: IP-адрес, эксплуатирующий уязвимости SharePoint;
- 130.206[.]168: IP-адрес, эксплуатирующий уязвимости SharePoint;
- 226.2[.]6: управляющий сервер, использующийся для постэксплуатации;
- aspx: веб-шелл, который развертывают атакующие (также встречаются варианты spinstall.aspx, spinstall1.aspx и spinstall2.aspx);
- ngrok-free[.]app/file.ps1: туннель Ngrok, использовавшийся для доставки PowerShell.
Хуже того, на этой неделе на GitHub появился proof-of-concept эксплоит для CVE-2025-53770, поэтому ИБ-специалисты ожидают, что вскоре к атакам на ToolShell присоединятся и другие хакерские группировки.
По информации экспертов компании Eye Security, в настоящее время от атак ToolShell пострадали не менее 400 серверов и 148 организаций по всему миру.
Также стоит отметить, что сегодня стало известно, что от ToolShell-атаки пострадало Национальное управление ядерной безопасности США (National Nuclear Security Administration, NNSA). Это ведомство входит в состав Министерства энергетики США, отвечает за хранение запасов ядерного оружия страны, а также занимается реагированием на ядерные и радиологические ЧС в США и за рубежом.
«В пятницу, 18 июля, эксплуатация уязвимости нулевого дня в Microsoft SharePoint затронула Министерство энергетики, в том числе NNSA, — сообщил изданию Bleeping Computer пресс-секретарь Министерства энергетики США. — Департамент пострадал минимально благодаря широкому использованию облака Microsoft M365 и мощным системам кибербезопасности».
По информации Bloomberg, пока не обнаружено никаких доказательств того, что в результате атаки могла быть скомпрометирована какая-либо конфиденциальная или секретная информация.
