Güncellenmiş bir uyarıdaki Microsoft Tehdit İstihbaratı, Storm-2603 olarak izlediği Çin merkezli hackerların hızla döndüğünü ve şimdi Warlock fidye yazılım varyantını dağıtmak için şirket içi SharePoint sistemlerini kullandığını söyledi.
Microsoft’taki araştırmacılar başlangıçta bu tehdit oyuncusu, şirket içi SharePoint güvenlik açıklarından yararlanan Machirneys’i çalmaya çalışırken, CVE-2025-53770 ve CVE-2025-53771’i gözlemlemişlerdir. Tehdit oyuncusu kötü niyetli bir senaryo kullandı “spinstall0.aspx,”İlk olarak Machine Tarkası verilerini geri aldı ve daha sonra sonuçları bir GET isteği yoluyla gönderdi, böylece anahtar materyalin çalınmasını sağladı.
SharePoint Online’da makine tuşları, görünüm durumu, form kimlik doğrulaması ve oturum durumu durumu gibi çeşitli özellikleri güvence altına almak ve doğrulamak için kullanılır. Sunucu ve istemci arasında değiş tokuş edilen verilerin güvenilir olmasını ve kurcalanmadığından emin olurlar. Bu anahtarlar, özellikle birden fazla sunucunun kullanıcı isteklerini kullandığı bir web çiftliği ortamında, web uygulamalarının bütünlüğünü korumak için çok önemlidir.
Microsoft daha önce Storm-2603’ün Warlock ve Lockbit Fidye yazılımı varyantlarını dağıttığını gözlemlemişti, ancak mevcut hedefler belirsizliğini koruyor.
Saldırı Döngüsü
Microsoft’a göre fidye yazılımı dağıtımına yönelik pivot ilk olarak 18 Temmuz’da başladı. Bilgisayar korsanları, kurbanın ortamına ilk erişim için İnternet’e bakan şirket içi SharePoint Server’dan yararlandı. Kullandılar spinstall0.aspx Başlangıç erişim için yük. Bu ilk erişim, web isteklerini yerine getirmekten ve web uygulamalarını yürütmekten sorumlu olan W3WP.exe işlemini yürütmek için kullanıldı.
Saldırganlar daha sonra kurbanın ortamını anlamak için bir dizi komuta uyguladılar: Whoamikullanıcı bağlamı ve ayrıcalık seviyelerini doğrulamak için; cmd.exe ve daha geniş yürütme aşamaları için toplu komut dosyaları; Ve Services.exe Doğrudan kayıt defteri değişiklikleri yoluyla Microsoft Defender korumalarını devre dışı bırakmak için.
Kalıcılık için saldırganlar, ilk kötü amaçlı web kabuğu, planlanan görevler ve şüpheli .NET montajları sunmak için İnternet Bilgi Hizmetleri (IIS) bileşenlerini manipüle etti. Tandemdeki bu mekanizma, ilk vektörler düzeltilmiş olsa bile, mağdur ortamında tespit edilmeden kalıcılığını sağlamıştır.
İnfazın bir sonraki aşamasında, saldırganlar düz metin kimlik bilgilerini çıkarmak için açık kaynaklı bir araç olan Mimikatz’ı kullandı. Bunun için yerel Güvenlik İdaresi Alt Sistem Hizmeti (LSASS) belleğini özellikle hedeflediler.
Saldırgan ayrıca, komutları Windows Management Enstrümantasyonu (WMI) kullanılarak yürütülen Psexec ve Impacket Araç Seti’ni kullanarak yanal olarak hareket etti.
Son aşamada, Storm-2603, Warlock fidye yazılımlarını tehlikeye atılan ortamlarda dağıtmak için Grup İlkesi Nesnelerini (GPO) değiştirdi.
Microsoft, “Ek aktörler, bu istismarları şirket içi Sharepoint sistemlerini hedeflemek için kullanmaya devam edecekler” diye uyardı ve böylece yamasını daha acil hale getiriyor.
Ayrıca Oku: Sıfır Gün Güvenlik Açığı Microsoft SharePoint’e, Acil Yama Düzenlendi
Shadowserver Foundation’ın İnternet tarama aracına göre, hala açılmamış kalan yaklaşık 424 internete bakan şirket içi sharpoint sunucu var. “SharePoint IPS’yi CVE-2025-53770, CVE-2025-53771’e karşı savunmasız olarak paylaştık” dedi X.
Şaşırtıcı olmayan bir şekilde, savunmasız IP’lerin çoğu Rusya, İran, Almanya ve Hindistan’dan bazılarıyla ABD’den.