Вымогатель Warlock подружился с SharePoint. Теперь они вместе грабят корпорации по всему миру
NewsMakerЗлобный дуэт нашёл способ прятаться в поддельных скриптах и возвращаться даже после полного удаления.
Волна атак на уязвимости в Microsoft SharePoint продолжает набирать обороты — теперь с размахом, которого эксперты не видели со времён массовых заражений LockBit. По данным Microsoft, за взломами стоит группа Storm-2603, связанная с Китаем. Её новая тактика — установка вымогателя Warlock на сервера жертв после первичного доступа через неустранённые уязвимости CVE-2025-49706 и CVE-2025-49704 . Одна из них позволяет подделать запрос, другая — удалённо выполнить произвольный код. Вместе они дают злоумышленникам полный контроль над незащищёнными системами.
Главной точкой входа выступает поддельный скрипт spinstall0.aspx, загружаемый на уязвимые локальные серверы. После этого начинается поэтапное проникновение: команда whoami уточняет привилегии, а дальше — серия команд через cmd.exe и исполняемые батники. Отдельно подчёркивается отключение Microsoft Defender: для этого в реестре изменяются настройки службы через services.exe, в том числе деактивируется AMSI — компонент проверки вредоносного кода в скриптах.
Закрепившись в системе, Storm-2603 создаёт задания по расписанию и меняет компоненты IIS, чтобы внедрять .NET-библиотеки. Это позволяет сохранить контроль даже после устранения первоначальных уязвимостей. На следующем этапе атакующие запускают Mimikatz для кражи паролей, а затем используют PsExec и Impacket для дальнейшего распространения в инфраструктуре.
Кульминацией атаки становится модификация GPO — групповых политик Active Directory, через которые и внедряется Warlock. В отчётах также упоминается LockBit, что говорит о широкой гибкости операторов. Параллельно фиксируются признаки, указывающие на использование инструментов ToolShell, BadPotato, RemoteExec и AsmLoader. Последний запускает шеллкод как в процессе IIS, так и в отдельных задачах.
К слову, ESET обнаружила , что США лидируют по числу атак ToolShell — 13,3% от глобального числа. Пострадали также Великобритания, Германия, Франция, Португалия и Италия. Среди целей — правительственные учреждения и крупные компании. Тем временем, Check Point насчитала свыше 4600 попыток компрометации в более чем 300 организациях по всему миру, включая телеком, финансы и госсектор. Отдельно подчёркивается, что в рамках кампании активно эксплуатируются также известные уязвимости в Ivanti EPMM.
Ситуацию усугубляет тот факт, что злоумышленники не просто используют известные дыры — они нацелены на извлечение ключей ASP.NET, с помощью которых можно заново получить доступ даже после устранения брешей. Это подтверждается присутствием вредоносных компонентов, аналогичных spinstall0.aspx, — они крадут MachineKey вместе с именем хоста и текущего пользователя. По оценке WithSecure, атаки напоминают кампанию декабря 2024 года, когда неизвестная группировка уже использовала подобные методы.
Пока в Microsoft и ESET говорят о китайском происхождении кампании, официального подтверждения от независимых структур нет. МИД КНР отверг обвинения, настаивая на том, что страна борется с киберпреступностью и противостоит обвинениям без доказательств.
На фоне происходящего Microsoft настаивает на незамедлительных мерах: установить обновления для SharePoint, включить AMSI, перезапустить IIS, сменить ключи ASP.NET и убедиться, что антивирусная защита работает корректно. Если AMSI не может быть активирован, настоятельно рекомендуется ручная перезагрузка после установки обновлений и замены ключей.
Ситуация продолжает развиваться. По мере публичного раскрытия векторов проникновения ожидается волна вторичных атак — от менее квалифицированных групп, использующих уже обнародованные инструменты. Противостояние уязвимостям в SharePoint превращается в глобальную игру на истощение, где цена ошибки — целая сеть.
Волна атак на уязвимости в Microsoft SharePoint продолжает набирать обороты — теперь с размахом, которого эксперты не видели со времён массовых заражений LockBit. По данным Microsoft, за взломами стоит группа Storm-2603, связанная с Китаем. Её новая тактика — установка вымогателя Warlock на сервера жертв после первичного доступа через неустранённые уязвимости CVE-2025-49706 и CVE-2025-49704 . Одна из них позволяет подделать запрос, другая — удалённо выполнить произвольный код. Вместе они дают злоумышленникам полный контроль над незащищёнными системами.
Главной точкой входа выступает поддельный скрипт spinstall0.aspx, загружаемый на уязвимые локальные серверы. После этого начинается поэтапное проникновение: команда whoami уточняет привилегии, а дальше — серия команд через cmd.exe и исполняемые батники. Отдельно подчёркивается отключение Microsoft Defender: для этого в реестре изменяются настройки службы через services.exe, в том числе деактивируется AMSI — компонент проверки вредоносного кода в скриптах.
Закрепившись в системе, Storm-2603 создаёт задания по расписанию и меняет компоненты IIS, чтобы внедрять .NET-библиотеки. Это позволяет сохранить контроль даже после устранения первоначальных уязвимостей. На следующем этапе атакующие запускают Mimikatz для кражи паролей, а затем используют PsExec и Impacket для дальнейшего распространения в инфраструктуре.
Кульминацией атаки становится модификация GPO — групповых политик Active Directory, через которые и внедряется Warlock. В отчётах также упоминается LockBit, что говорит о широкой гибкости операторов. Параллельно фиксируются признаки, указывающие на использование инструментов ToolShell, BadPotato, RemoteExec и AsmLoader. Последний запускает шеллкод как в процессе IIS, так и в отдельных задачах.
К слову, ESET обнаружила , что США лидируют по числу атак ToolShell — 13,3% от глобального числа. Пострадали также Великобритания, Германия, Франция, Португалия и Италия. Среди целей — правительственные учреждения и крупные компании. Тем временем, Check Point насчитала свыше 4600 попыток компрометации в более чем 300 организациях по всему миру, включая телеком, финансы и госсектор. Отдельно подчёркивается, что в рамках кампании активно эксплуатируются также известные уязвимости в Ivanti EPMM.
Ситуацию усугубляет тот факт, что злоумышленники не просто используют известные дыры — они нацелены на извлечение ключей ASP.NET, с помощью которых можно заново получить доступ даже после устранения брешей. Это подтверждается присутствием вредоносных компонентов, аналогичных spinstall0.aspx, — они крадут MachineKey вместе с именем хоста и текущего пользователя. По оценке WithSecure, атаки напоминают кампанию декабря 2024 года, когда неизвестная группировка уже использовала подобные методы.
Пока в Microsoft и ESET говорят о китайском происхождении кампании, официального подтверждения от независимых структур нет. МИД КНР отверг обвинения, настаивая на том, что страна борется с киберпреступностью и противостоит обвинениям без доказательств.
На фоне происходящего Microsoft настаивает на незамедлительных мерах: установить обновления для SharePoint, включить AMSI, перезапустить IIS, сменить ключи ASP.NET и убедиться, что антивирусная защита работает корректно. Если AMSI не может быть активирован, настоятельно рекомендуется ручная перезагрузка после установки обновлений и замены ключей.
Ситуация продолжает развиваться. По мере публичного раскрытия векторов проникновения ожидается волна вторичных атак — от менее квалифицированных групп, использующих уже обнародованные инструменты. Противостояние уязвимостям в SharePoint превращается в глобальную игру на истощение, где цена ошибки — целая сеть.