Microsoft сообщила, что хакерская группа, отслеживаемая под кодовым названием Storm-2603, использует критические уязвимости в платформе SharePoint для распространения программ-вымогателей.SharePoint, согласно сайту Microsoft, — это «безопасная платформа корпоративного уровня для управления контентом и совместной работы», которая позволяет «безопасно сотрудничать, синхронизировать и делиться контентом». (По сути, организации используют её для создания сайтов, доступных через их интранет.)
Однако заявления о безопасности платформы подрываются сообщениями о том, что несколько групп используют многочисленные уязвимости в SharePoint.19 июля Microsoft заявила, что «осведомлена об активных атаках, нацеленных на клиентов с локальными серверами SharePoint, использующих уязвимости, частично устранённые июльским обновлением безопасности». Теперь эти уязвимости, включая CVE-2025-49704, CVE-2025-49706, а также обходы патчей, выпущенных для их исправления (CVE-2025-53770 и CVE-2025-53771), используются для распространения программы-вымогателя Warlock.
Команда Microsoft по анализу угроз сообщила 22 июля, что «наблюдала, как два известных китайских государственных актора, Linen Typhoon и Violet Typhoon, используют эти уязвимости для атак на серверы SharePoint, доступные из интернета». 23 июля компания обновила отчёт, добавив, что «ещё один базирующийся в Китае актор угроз, отслеживаемый как Storm-2603, использует эти уязвимости для распространения программ-вымогателей».
Microsoft присваивает хакерским группам идентификаторы с суффиксами, основанными на стране происхождения (Китай — Typhoon, Северная Корея — Sleet и т.д.), а также на характере их деятельности (операции по влиянию — Flood, финансово мотивированные группы — Tempest) и других факторах. Группы, находящиеся «в разработке», получают префикс Storm с числовой последовательностью; в данном случае — Storm-2603.«Группа, отслеживаемая Microsoft как Storm-2603, с умеренной уверенностью оценивается как базирующийся в Китае актор угроз», — сообщила компания.
«Microsoft не выявила связей между Storm-2603 и другими известными китайскими акторами угроз. Microsoft отслеживает эту группу в связи с попытками кражи MachineKeys с использованием уязвимостей локальных серверов SharePoint. Хотя Microsoft ранее наблюдала, как этот актор использовал программы-вымогатели Warlock и Lockbit, в настоящее время компания не может с уверенностью оценить цели актора. Начиная с 18 июля 2025 года, Microsoft наблюдала, как Storm-2603 распространяет программы-вымогатели, используя эти уязвимости».
Что должны сделать организации, использующие SharePoint, чтобы не стать жертвами Storm-2603? К сожалению, нет простого решения в одно нажатие кнопки. Microsoft рекомендует использовать последнюю версию платформы, что типично для таких предупреждений, но её рекомендации не ограничиваются установкой нескольких обновлений (особенно учитывая, что для некоторых патчей уже найдены обходы).
«Чтобы предотвратить неавторизованные атаки, использующие эту уязвимость, — сообщила Microsoft, — клиентам следует интегрировать и включить интерфейс сканирования от вредоносных программ (AMSI) и Microsoft Defender Antivirus (или эквивалентные решения) для всех локальных развертываний SharePoint и настроить AMSI в режим полной защиты. Клиентам также следует обновить ключи ASP.NET серверов SharePoint, перезапустить службы Интернета (IIS) и развернуть Microsoft Defender для конечных точек или эквивалентные решения».Ожидается, что по мере продолжения расследования Microsoft появится больше информации о Storm-2603, пострадавших организациях и других аспектах этих уязвимостей.
Оригинал
Уникальность
