Хакеры снова на коне — на этот раз группировка Storm-2603 активно эксплуатирует свежевскрытые уязвимости в SharePoint:
- CVE-2025-49704 — RCE (удалённое выполнение кода)
- CVE-2025-49706 — spoofing (подмена данных)
После успешного захода на незащищённый SharePoint, на сервак заливается вебшелл spinstall0.aspx. Оттуда уже по классике:
🔸 Запускается cmd.exe, бегают скрипты
🔸 Вырубается Defender через Registry-хак с services.exe
🔸 Создаются Scheduled Tasks, меняется IIS
🔸 В бой идёт Mimikatz — вытаскиваются пароли из LSASS
🔸 Перемещение по сети — через PsExec и Impacket
🔸 Потом — GPO + Warlock Ransomware = привет шифровка по расписанию
Ах да, ещё сбор ASP.NET machine keys, модификация GPO, запуск кастомных .NET-ассембли. Уязвимые машины становятся частью зомби SharePoint-армии.
Каво и шо?
- В атаке участвуют ещё две группировки: APT27 (Linen Typhoon) и APT31 (Violet Typhoon)
- Более 4600 попыток компрометации зафиксировано (по данным Check Point)
- Удары по США, UK, Италии, Франции, Германии и др.
- В ходу Godzilla, GhostWebShell, BadPotato, KeySiphon, и прочие зло-примочки
Основная цель: сбор ключей валидации и шифрования ASP.NET, чтобы обойти даже последующие патчи
ESET уже видит ToolShell по всему миру. Fortinet говорит о глубокой интеграции в ASP.NET. WithSecure предупреждает — кто контролирует ключи, тот контролирует сервер.
Китай, конечно, открещивается от причастности, мол "все страны страдают от киберугроз".
Берегите себя и свои нервы.
📘 Понравилась статья?
Больше практики и реальных заданий — в Kraken Academy.
А чтобы точно ничего не пропустить — подпишись на наш Telegram-канал.
Рекомендуемые статьи
