Microsoft раскрывает, что китайские государственные хакеры используют уязвимости SharePoint

Новое критическое обновление Microsoft раскрывает, что определенные китайские государственные организации активно используют уязвимости в локальных серверах SharePoint. После публикации более раннего отчёта Hackread.com, в котором сообщалось о взломе более 100 организаций по всему миру, Microsoft выявила ключевых участников атак и выпустила комплексные обновления безопасности для всех затронутых версий SharePoint.

Продолжающиеся кибератаки используют две уязвимости нулевого дня: CVE-2025-49706 — уязвимость спуфинга, позволяющую злоумышленникам обманывать системы, и CVE-2025-49704 — уязвимость удалённого выполнения кода (RCE), позволяющую им удалённо запускать вредоносный код. Эти уязвимости связаны с ранее описанными CVE-2025-53770 и CVE-2025-53771 .

Подразделение Microsoft Threat Intelligence подтверждает , что китайские государственные группировки Linen Typhoon, Violet Typhoon и другая китайская группировка, известная как Storm-2603, эксплуатируют эти уязвимости. Наблюдаемые атаки начинаются с того, что злоумышленники проводят разведку и отправляют специально созданные POST-запросы на конечную точку ToolPane на серверах SharePoint.

Эти группы известны шпионажем, кражей интеллектуальной собственности и постоянными атаками на уязвимую веб-инфраструктуру. Атаки широко распространены: с 18 июля 2025 года CrowdStrike зафиксировала сотни попыток атак в более чем 160 клиентских средах.

Группа Linen Typhoon, действующая с 2012 года, занимается кражей интеллектуальной собственности в государственных, оборонных и правозащитных организациях. Violet Typhoon, отслеживаемая с 2015 года, специализируется на шпионаже против бывших военнослужащих, НПО и финансовых учреждений, часто путём сканирования и эксплуатации уязвимостей.

Хотя Storm-2603 ранее уже применяла программы-вымогатели, такие как Warlock и Lockbit, их текущие цели, связанные с эксплойтами SharePoint, всё ещё оцениваются. Ниже представлен краткий обзор деятельности этих групп:

• Китайская государственная спонсируемая группа
• Ранее известный как гафний
• Target фокусируется на правительстве, обороне, НПО и образовании.
• Известен атаками на критически важную инфраструктуру и академические учреждения США.
• Известная активность включает эксплуатируемые уязвимости Microsoft Exchange ( ProxyLogon ).

• Китайский актёр угрозы
• Ранее известный как APT41 (также известный как Barium или Winnti, в зависимости от активности)
• Известен сочетанием шпионажа, поддерживаемого государством, и финансово мотивированных атак.
• Target фокусируется на здравоохранении, телекоммуникациях, программном обеспечении и игровой индустрии.
• Известная активность : включает взломы цепочки поставок, бэкдор-обновления программного обеспечения.

• Считается, что это связано с Китаем
• «Storm» — временное название, которое Microsoft использует для новых или неатрибутированных групп.
• Известен эксплуатацией уязвимостей нулевого дня в продуктах Microsoft.
• Целевой фокус включает государственные и корпоративные системы.
• Статус расследуется, но предварительные данные указывают на китайское происхождение.

По данным расследования Microsoft, злоумышленники используют веб-оболочки, такие как модифицированные файлы spinstall0.aspx, для кражи критически важных ключей машины IIS, которые позволяют обойти аутентификацию, а первые попытки эксплуатации уязвимости датируются 7 июля 2025 года. Как ранее отмечала организация Shadowserver Foundation, эти устойчивые бэкдоры позволяют хакерам сохранять доступ даже после обновления систем.