Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), şirket içi Microsoft SharePoint sunucularını hedefleyen “araç kepçe” olarak adlandırılan bir sömürü zinciri ile ilgili kritik bir uyarı yayınladı.
CVE-2025-49704 (kod enjeksiyonu yoluyla bir uzaktan kod yürütme kusuru, CWE-94), CVE-2025-49706 (ağ sahtekarlığı, CWE-287), CVE-2025-53770 (CVE -202) (CWE-502) ve deserializasyon, CWE-502 ve deserializasyon (CWE-502) ve Yanlış Kimlik Doğrulama Sorunu, CWE-287).
Analize göre, tehdit aktörleri CVE-2025-49706 ile CVE-2025-49704 ile yetkisiz erişim elde ederken, CVE-2025-53770 ve CVE-2025-53771, önceki benzetmeleri atlayarak sert kalıcılığa izin vererek etkin bir şekilde izin veriyor.
CISA’nın Kötü Yazılım Analiz Raporu (Mar-251132.c1.v1) Ayrıntılar Altı Altı Dosya Bu saldırılarda kullanılan iki Base64 tarafından kodlanmış .NET DLL’leri ve dört ASPX dosyası, ASP.NET konfigürasyonlarından makine anahtarlarının ekstraksiyonunu vurgulamaktadır ve bu da daha sonra eksfiltrasyon için HTTP yanıt başlıklarına eklenir.
Keten Typhoon, Violet Typhoon ve Storm-2603 gibi aktörlerle bağlantılı olan bu zincir, Webshell dağıtımını, komuta yürütülmesini ve veri hırsızlığını kolaylaştırır ve maruz kalan SharePoint örnekleri olan kuruluşlar için önemli riskler oluşturur.
Kötü amaçlı yazılım bileşenleri
Analiz edilen eserler sofistike taktikleri ortaya çıkarır: DLL’ler (örneğin, bjcloiyq.dll ve osvmhdfl.dll), System.web.web.configuration, geri alma, doğrulama ve işletim sistemi gibi sistem detaylarının yanı sıra, özel netlikler gibi sistem detaylarının yanı sıra, özel netlikler gibi sistem detaylarının yanı sıra.
Spinstall0.aspx gibi ASPX dosyaları bu anahtarları doğrudan çıktı, info3.aspx bir damlalık olarak işlev görür, çerez tabanlı kimlik doğrulama, cmd.exe veya powershell üzerinden komut yürütme ve dosya yüklemelerini işleyen kötü amaçlı bir webshell (başka bir info3.aspx varyantı) kodunu çözer ve yükler.
Spinstallb.aspx ve spinstallp.aspx gibi webshells, yük yüklerini çalıştırmak için sabit kodlu tuşlarla xor şifresini kullanarak ve çıkışları temel 64 kodlu formda geri döndürerek uzaktan kumanda ve parmak izini sağlayan şifreli PowerShell komutlarını yürütür.
Bu bileşenler, kimlik doğrulama kimlik bilgilerini çalmak, verileri ortaya çıkarmak ve daha fazla kötü amaçlı yazılım yüklemek için yetenekleri gösterir, YARA kuralları kodlanmış .NET yükleri ve Sigma kurallarını, / _layouts / pathss.paste.txt olmak için şüpheli HTTP istekleri gibi sömürü kalıplarını tanımlayan
Tespit İmzaları
CISA, Base64 kodlu DLL’ler, webshell davranışları ve belirli IP adresleri ve dosya karmaları gibi IOC’ler de dahil olmak üzere bu tehditleri tanımlamak için Yara ve Sigma algılama kuralları sağlar.
Kuruluşlardan Microsoft’un yamalarını uygulamaları, SharePoint günlüklerinde anormal etkinlik izlemeleri ve sağlanan IOC’leri tehdit avı için kullanmaları istenir.
Daha derin bir azaltma için, Microsoft’un CVE-2025-53770 Sömürü konusundaki rehberliği gibi referansları gözden geçirmek tavsiye edilir.
Uzlaşma Göstergesi (IOCS)
| Tip | IOC değeri | Tanım |
|---|---|---|
| SHA256 | 60A37499F9B02C203AF24C2DF7FDB3834CE707C4C56B410A7E68376938C4B7 | Base64-kodlu .NET DLL verileri |
| SHA256 | BEE94B93C1796981A5D7BD27A32345A61304A8ED6CD70A5F7A402F1332DF72 | .NET DLL Çıkarma Makine Anahtarları |
| SHA256 | 92BB4DB98EAF1FC15B32E71D0A63256A0ED826A03BA293CE3A8BFF057A514 | ASPX Dosya Çıktı Anahtarları |
| Ivır zıvır | 107.191.58.76 | Saldırgan altyapısı |
| Ivır zıvır | 104.238.159.149 | Saldırgan altyapısı |
| Dosya Yolu | /_layouts/15/spinstall0.aspx | Kötü niyetli ASPX uç noktası |
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir