Национальная администрация ядерной безопасности США (NNSA) входит в число приблизительно 400 организаций, которые были скомпрометированы в волне кибератак, использующих вновь обнаруженные уязвимости на серверах Microsoft SharePoint. По данным безопасности Microsoft и голландской компании кибербезопасности, вторжения были связаны с тремя группами угроз в Китае, в том числе две, как полагают, спонсируются государством.

Microsoft сообщила, что актеры угроз, идентифицированные как льняной тайфун, фиолетовый тайфун и Storm-2603, начали нацеливаться на уязвимые локальные серверы SharePoint, начиная с начала июля 2025 года. Эти актеры использовали несколько недостатков безопасности, перечисленных в качестве CVE-2025-49704, CVE-2025-49706, CVE-20-5770, и CVE-2025-49706, CVE-20-5770 и 25770, CVE-2025-49706, CVE-20-5770, CVE-2025-49706. CVE-2025-53771, который позволяет злоумышленникам обходить аутентификацию и удаленно выполнять вредоносный код. Безопасность глаз обнаружила ненормальную деятельность на сервере SharePoint клиента 18 июля, а затем отсканировал более 8000 общедоступных серверов.

Фирма подтвердила десятки скомпрометированных систем и ожидает, что общее количество увеличится при проведении дальнейших исследований. Большинство пострадавших организаций базируются в Соединенных Штатах и работают в государственном, оборонном, здравоохранении и академическом секторах. Microsoft пояснила, что уязвимости влияют только на локальные версии SharePoint Server и не влияют на облачную онлайн-платформу SharePoint. В наблюдаемых атаках субъекты угроз использовали обработанные запросы по почте для установки веб -оболочек, таких как файлы с именем spinstall0.aspx.

Меры по смягчению и геополитическую контекст реакции формы формы

Эти файлы позволили злоумышленникам извлечь данные ключа машины, используемые для аутентификации, тем самым поддерживая несанкционированный доступ. Linen Typhoon работает с 2012 года и известен тем, что нацеливается на учреждения, участвующие в политике, государственных операциях и правах человека для кражи интеллектуальной собственности. Violet Typhoon, впервые отслеживаемая в 2015 году, сосредоточилась на шпионских усилиях, направленных на неправительственные организации, академические учреждения, средства массовой информации и бывшие военнослужащие в Соединенных Штатах, Европе и Восточной Азии.

Microsoft со средней уверенностью оценивает, что Storm-2603 базируется в Китае, но не связала ее с другими известными актерами. Эта группа ранее развернула вымогатели в других операциях. Microsoft выпустила критические обновления безопасности для поддерживаемых версий SharePoint Server, включая подписное издание, 2019 и 2016 годы. Компания посоветовала немедленную установку этих исправлений и рекомендуемые дополнительные шаги, такие как вращающиеся машинные ключи, что позволила антималпроводной сканированию в полной режиме и развертывании Microsoft Defender для конечных или эквивалентных инструментов для обнаружения пост-эксплуатации.

Кибератаки совпадают с более широкой геополитической напряженностью и переоценкой технологического сотрудничества между Соединенными Штатами и Китаем. Отчеты показывают, что Amazon закрыла свою лабораторию искусственного интеллекта в Шанхае, в то время как McKinsey & Company ограничила свою деятельность в Китае от участия в проектах, связанных с искусственным интеллектом. Microsoft и IBM также сократили свои исследовательские усилия в Китае, поскольку изучение технологических партнерских отношений в США продолжает расти. – Службами синдикации контента.

Автор публикации

Чио Чио Сан

Только ветер буйный поет за кормой: Чио Чио Сан - я хочу быть с тобой!

• Галерея пользователя
• Гостевая пользователя

АВТОРИЗУЙТЕСЬ, чтобы написать в гостевухе

!

Пока нет записей в гостевой книге пользователя