Microsoft, internete bakan SharePoint Server örneklerindeki güvenlik kusurlarının kullanılmasını, 7 Temmuz 2025 gibi erken saatlerde Linen Typhoon ve Violet Typhoon adlı iki Çin hack grubuna bağladı ve önceki raporları destekledi.
Teknoloji devi, Storm-2603 olarak izlediği üçüncü bir Çin merkezli tehdit oyuncusu gözlemlediğini ve hedef organizasyonlara ilk erişimi elde etmek için kusurları da silahlandırdığını söyledi.
Tech Giant bugün yayınlanan bir raporda, “Bu istismarların hızlı bir şekilde benimsenmesiyle Microsoft, tehdit aktörlerinin onları açılmamış şirket içi SharePoint sistemlerine karşı saldırılarına entegre etmeye devam edeceğine dair yüksek bir güvenle değerlendiriyor.” Dedi.
Tehdit faaliyet kümelerinin kısa bir açıklaması aşağıdadır –
- Line Typhoon (AKA Apt27, Bronz Birliği, Emissary Panda, İyot, Lucky Fare, Red Phoenix ve UNC215), daha önce Sysupdate, Hyperbro ve Plugx gibi kötü amaçlı ailelerle ilişkilendirilmiş
- Menekşe Typhoon (AKA Apt31, Bronz Vinewood, Yargı Panda, Red Keres ve Zirkonyum), 2015’ten beri aktif olan ve daha önce ABD, Finlandiya ve Çekya’yı hedefleyen saldırılara atfedilmiş
- Fırtına-2603Geçmişte Warlock ve Lockbit Fidye Yazılımını dağıtan şüpheli bir Çin merkezli tehdit oyuncusu
Şirket içi SharePoint sunucularını etkileyen güvenlik açıklarının, bir sahtekarlık kusuru olan CVE-2025-49706 ve bir uzak kod yürütme hatası olan CVE-2025-49704 için eksik düzeltmelerden yararlandığı bulunmuştur. Baypaslara sırasıyla CVE-2025-53771 ve CVE-2025-53770 CVE tanımlayıcıları atanmıştır.
Microsoft tarafından gözlemlenen saldırılarda, tehdit aktörlerinin, araç tabanı uç noktasına bir sonrası isteği aracılığıyla şirket içi SharePoint sunucularını kullandığı bulundu, bu da bir kimlik doğrulama baypası ve uzaktan kod yürütme ile sonuçlandı.
Diğer siber güvenlik satıcıları tarafından açıklandığı gibi, enfeksiyon zincirleri, rakiplerin Makine verilerini almasına ve çalmasına izin veren “spinstall0.aspx” (aka spinstall.aspx, spinstall1.aspx veya spinstall2.aspx) adlı bir web kabuğunun dağıtımının yolunu açar.
Siber güvenlik araştırmacısı Rakesh Krishnan, bir SharePoint istismarının adli analizi sırasında “üç farklı Microsoft Edge Invocation tanımlandığını” söyledi. Bu, ağ yardımcı işlemi, crashpad işleyicisi ve GPU işlemini içerir.
Krishnan, “Her biri Chromium’un mimarisinde benzersiz bir işleve hizmet ediyor, ancak toplu olarak davranışsal taklit ve kum havuzu kaçırma stratejisi ortaya koyuyor.”
Tehditin ortaya koyduğu riski azaltmak için, kullanıcıların SharePoint Server Abonelik Sürümü, SharePoint Server 2019 ve SharePoint Server 2016 için en son güncellemeyi uygulamaları, SharePoint Server ASP.NET Machine anahtarlarını döndürmeleri, Internet Bilgi Hizmetleri’ni (IIS) yeniden başlatması ve Microsoft Defender’ı uç nokta veya eşdeğer çözümler için dağıtmak önemlidir.
Ayrıca, tüm şirket içi SharePoint dağıtımları için antimal yazılım tarama arayüzünü (AMSI) ve Microsoft Defender antivirüs (veya benzer çözümler) entegre etmeniz ve etkinleştirmeniz ve AMSI’yi tam modu etkinleştirmek için yapılandırmanız önerilir.
Microsoft, “Ek aktörler, bu istismarları şirket içi Sharepoint sistemlerini hedeflemek için kullanabilir ve kuruluşların hemen hafifletme ve güvenlik güncellemelerini uygulama ihtiyacını daha da vurgulayabilir.” Dedi.
Microsoft’un onayı Çin’e bağlı en son hack kampanyası olsa da, aynı zamanda Pekin uyumlu tehdit aktörlerinin Windows Maker’ı hedeflediği ikinci kez. Mart 2021’de, ipek tayfun (diğer adıyla Hafnium) olarak izlenen çekişmeli kolektif, Exchange Server’da o zamandan fazla kurdu günlerinden yararlanan bir kitlesel servis etkinliğine bağlandı.
Bu ayın başlarında, 33 yaşındaki Çin vatandaşı Xu Zewei, İtalya’da tutuklandı ve Proxylogon olarak bilinen Microsoft Exchange Server kusurlarını silahlandırarak Amerikan organizasyonlarına ve devlet kurumlarına karşı siber saldırılar yapmakla suçlandı.