Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç, yönetişim ve risk yönetimi
Araştırmacılar, 400’den fazla kuruluş devam eden araç köyü saldırıları yoluyla ihlal etti
Mathew J. Schwartz (Euroinfosec) •
23 Temmuz 2025
Bilgisayar korsanları, ülkenin nükleer silahlarını koruyan ve tasarlayan bir ABD devlet kurumunu ihlal etmek için Microsoft SharePoint’te sıfır gün kusurları kullandı.
Ayrıca bakınız: Panel | Siber saldırılar artıyor – ve siber sigorta oranları hızla yükseliyor
Yüzlerce kuruluş, toplu olarak araç kepçesi olarak bilinen yaygın olarak kullanılan Microsoft yazılımındaki güvenlik açıklarına yenik düştü (bkz:: Microsoft, şirket içi SharePoint istismarlarını Çin’e izler).
Bilgisayar korsanları, Enerji Bakanlığı’nın yarı özerk bir kısmı olan Ulusal Nükleer Güvenlik İdaresi’ne ve aynı bölümün diğer bölümlerine nüfuz etti, Bloomberg ilk olarak Çarşamba günü, tek bir anonim kaynağa atıfta bulunarak Çarşamba günü bildirdi.
DOE, yorum talebine hemen yanıt vermedi. Ancak bir sözcü, Bloomberg’e Hackers’ın Cuma günü siber savunmaları geçmesi için araç kılıfını konuşlandırdığını söyledi. Sözcü, “Departman, Microsoft M365 bulutunun yaygın kullanımı ve çok yetenekli siber güvenlik sistemleri nedeniyle minimal olarak etkilendi.” Dedi. “Çok az sayıda sistem etkilendi. Tüm etkilenen sistemler geri yükleniyor.”
Araç kağıdı birlikte iki Microsoft SharePoint güvenlik açıkları-CVE-2025-53770 ve CVE-2025-53771-Microsoft’un acil durum yamalarını koştuğu kusurlar.
Hollanda merkezli siber güvenlik firması Eye Security’deki araştırmacılar, ilk tarama kampanyasını tespit eden ilk taramalar, bilgisayar korsanlarının düzinelerce kuruluşa nüfuz ettiğini gösterdi. Şirket, bir müşteri ortamında konuşlandırdığı Crowdstrike Falcon EDR yazılımından bir uyarı sayesinde saldırıyı tespit ettiğini ve “Uyarı, yakın zamanda yüklenen bir kötü niyetli bir kötü niyetli bir Server’e bağlı bir Şüpheli İşlem Zinciri’ni işaretlediğini söyledi. .aspx dosya.”
Firma, kurban sayısını yukarı doğru revize etti ve Çarşamba günü 400’den fazla sistemin – şimdiye kadar tarandığı 23.000’den fazla sistemin sömürüldüğünü bildirdi. Saldırılar dört dalgada meydana geldiğini, Perşembe günü ilk, muhtemelen test çalışmasıyla başlayarak, ardından Cuma ve Cumartesi günleri tam teşekküllü saldırılar ve Pazartesi gününden itibaren ek dalgalar izledi, bu da birden fazla araştırmacı, araç kılıfı için kamuoyu keçi kanıtı kodunu yayınladı.
Bloomberg, saldırılara bağlı olay müdahale soruşturmaları bilgisine sahip bir kişiye atıfta bulunan bir kişiye, saldırının kurbanlarının yanı sıra ABD Eğitim Bakanlığı, Florida Gelir Dairesi ve Rhode Island Genel Kurulu içerdiğini söyledi.
SharePoint Server – Abonelik Sürümü, 2019 ve 2016’nın desteklenen tüm sürümleri için yamalar yayınlamanın yanı sıra – Microsoft, yazılım yöneticilerinin kurulumlarını korumak için almaları gereken ayrıntılı ek, zorunlu azaltma adımları yayınladı. SharePoint’in bulut sürümleri risk altında değildir.
Pazartesi günü bir blog yazısında Microsoft, araç kıyafetini kullanma çabalarının, iki ayrı kusur için yamalar yayınlamadan bir gün önce “7 Temmuz’da” başladığını söyledi-CVE-2025-49704 ve CVE-2025-49706-saldırganlar, şirket içi SharePoint kurulumlarına başlangıç erişimini kazanmak için kullandı.
Sıfır gün güvenlik açıkları saldırganları Perşembe-CVE-2025-53770 ve CVE-2025-53771 Araç Kazıkları-Microsoft’un iki Temmuz 8 yaması boyunca düzeltmeye çalıştığı güvenlik açıklarının varyantları gibi görünmektedir. Güvenlik açıkları, Mayıs ayının ortalarında Obsensivecon Konferansı’nda düzenlenen PWN2OWN Berlin yarışmasında ilk kez ortaya çıkmış gibi görünmektedir, ancak kusurlar hakkında hiçbir kamuya açık detay serbest bırakılmamıştır.
Microsoft, Vahşi’deki kusurlardan yararlanma girişimlerinin, keten tayfun, Violet Typhoon ve Storm-2603 olarak izlediği üç ayrı Çin bağlantılı gruba kadar izlediğini söyledi.
Teknoloji devi, Çin hackleme gruplarına atıfta bulunmak için tehdit oyuncusu isimlendirmesinde “tayfun” atamalarını kullanıyor. APT27 ve Emissary Panda olarak da izlenen Keten Typhoon, 2012’den beri faaliyette ve fikri mülkiyet çalmaya odaklanıyor. Violet Typhoon, AKA APT31 ve Yargı Panda, 2015’ten beri faaliyette bir siber boyama grubudur. Storm-2603, tarih ve hedeflerinin belirsiz kalmasına rağmen, Çin merkezli bir tehdit grubu gibi görünmektedir.
Kavram kanıtı artık istismar kodu ile kolayca mevcut olan güvenlik uzmanları, birden fazla ulus-devlet hack ekiplerinin ve siber suç gruplarının muhtemelen mücadeleye katıldığı konusunda uyardı.