Storm-2603 ломает SharePoint

Хакеры снова на коне — на этот раз группировка Storm-2603 активно эксплуатирует свежевскрытые уязвимости в SharePoint:

- CVE-2025-49704 — RCE (удалённое выполнение кода)

- CVE-2025-49706 — spoofing (подмена данных)

После успешного захода на незащищённый SharePoint, на сервак заливается вебшелл spinstall0.aspx. Оттуда уже по классике:

🔸 Запускается cmd.exe, бегают скрипты
🔸 Вырубается Defender через Registry-хак с services.exe
🔸 Создаются Scheduled Tasks, меняется IIS
🔸 В бой идёт Mimikatz — вытаскиваются пароли из LSASS
🔸 Перемещение по сети — через PsExec и Impacket
🔸 Потом — GPO + Warlock Ransomware = привет шифровка по расписанию

Ах да, ещё сбор ASP.NET machine keys, модификация GPO, запуск кастомных .NET-ассембли. Уязвимые машины становятся частью зомби SharePoint-армии.

Каво и шо?

- В атаке участвуют ещё две группировки: APT27 (Linen Typhoon) и APT31 (Violet Typhoon)

- Более 4600 попыток компрометации зафиксировано (по данным Check Point)

- Удары по США, UK, Италии, Франции, Германии и др.

- В ходу Godzilla, GhostWebShell, BadPotato, KeySiphon, и прочие зло-примочки

Основная цель: сбор ключей валидации и шифрования ASP.NET, чтобы обойти даже последующие патчи

ESET уже видит ToolShell по всему миру. Fortinet говорит о глубокой интеграции в ASP.NET. WithSecure предупреждает — кто контролирует ключи, тот контролирует сервер.

Китай, конечно, открещивается от причастности, мол "все страны страдают от киберугроз".

Берегите себя и свои нервы.