Microsoft ujawnia, że hakerzy z chińskiego państwa wykorzystują luki w programie SharePoint

Krytyczna aktualizacja Microsoftu ujawnia, że określone chińskie grupy przestępcze aktywnie wykorzystują luki w zabezpieczeniach lokalnych serwerów SharePoint. Po wcześniejszym raporcie Hackread.com, który ujawnił naruszenie bezpieczeństwa ponad 100 organizacji na całym świecie, Microsoft zidentyfikował teraz głównych graczy odpowiedzialnych za włamania i opublikował kompleksowe aktualizacje zabezpieczeń dla wszystkich zagrożonych wersji SharePoint.

Trwające cyberataki wykorzystują dwie odrębne luki typu zero-day: CVE-2025-49706 , lukę umożliwiającą podszywanie się pod inne osoby, która pozwala atakującym oszukiwać systemy, oraz CVE-2025-49704 , lukę umożliwiającą zdalne wykonanie kodu (RCE), umożliwiającą zdalne uruchamianie złośliwego kodu. Luki te są powiązane z wcześniej opisanymi lukami CVE-2025-53770 i CVE-2025-53771 .

Dział Threat Intelligence firmy Microsoft potwierdza , że chińskie ugrupowania państwowe Linen Typhoon, Violet Typhoon i inna chińska grupa śledzona jako Storm-2603 wykorzystują te luki. Obserwowane ataki rozpoczynają się od przeprowadzenia przez atakujących rozpoznania i wysłania spreparowanych żądań POST do punktu końcowego ToolPane na serwerach SharePoint.

Grupy te znane są ze szpiegostwa, kradzieży własności intelektualnej i uporczywego atakowania narażonej infrastruktury internetowej. Ataki są powszechne, a CrowdStrike odnotował setki prób w ponad 160 środowiskach klientów od 18 lipca 2025 roku.

Linen Typhoon, działający od 2012 roku, koncentruje się na kradzieży własności intelektualnej z sektora rządowego, obronnego i praw człowieka. Violet Typhoon, śledzony od 2015 roku, specjalizuje się w szpiegostwie przeciwko byłym wojskowym, organizacjom pozarządowym i instytucjom finansowym, często poprzez skanowanie i wykorzystywanie luk w zabezpieczeniach.

Chociaż Storm-2603 w przeszłości wdrażał ransomware, takie jak Warlock i Lockbit, ich obecne cele w kontekście ataków na platformę SharePoint wciąż są analizowane. Oto podsumowanie działań tych grup:

• Grupa sponsorowana przez państwo chińskie
• Wcześniej znany jako Hafn
• Target koncentruje się na rządzie, obronności, organizacjach pozarządowych i edukacji
• Znany z ataków na krytyczną infrastrukturę USA i instytucje akademickie
• Do godnych uwagi działań należą: wykorzystanie luk w zabezpieczeniach programu Microsoft Exchange ( ProxyLogon )

• Chiński aktor zagrażający
• Wcześniej znany jako APT41 (znany również jako Barium lub Winnti, w zależności od aktywności)
• Znany z połączenia szpiegostwa wspieranego przez państwo z atakami motywowanymi finansowo
• Target koncentruje się na branży opieki zdrowotnej, telekomunikacji, oprogramowania i gier
• Godna uwagi aktywność : obejmuje naruszenia łańcucha dostaw, aktualizacje oprogramowania z wykorzystaniem tylnych drzwi

• Uważa się, że ma powiązania z Chinami
• „Storm” to tymczasowa nazwa używana przez firmę Microsoft w odniesieniu do grup powstających lub niepodlegających przypisaniu
• Znany z wykorzystywania luk typu zero-day w produktach firmy Microsoft
• Docelowo skupiamy się na systemach rządowych i korporacyjnych
• Status jest badany, ale wstępne wskaźniki wskazują na chińskie pochodzenie

Według dochodzenia firmy Microsoft atakujący wdrażają powłoki internetowe, takie jak zmodyfikowane pliki spinstall0.aspx, w celu kradzieży kluczowych kluczy maszynowych IIS, które mogą ominąć uwierzytelnianie. Pierwsze próby wykorzystania luki w zabezpieczeniach datowane są na 7 lipca 2025 r. Jak wcześniej zauważyła Fundacja Shadowserver, te trwałe tylne furtki pozwalają hakerom zachować dostęp nawet po aktualizacji systemów.