Microsoft, SharePoint kusurlarının aktif sömürüsünün arkasındaki tehdit aktörlerinden birinin konuşlandırdığını açıkladı. Warlock Fidye Yazılımı hedeflenen sistemlerde.
Teknoloji devi, Çarşamba günü paylaşılan bir güncellemede, bulguların “sömürü faaliyetlerinin sürekli izlenmesinden sonra genişletilmiş analiz ve tehdit istihbaratına dayandığını söyledi. Fırtına-2603. “
Finansal olarak motive olmuş faaliyete atfedilen tehdit oyuncusu, geçmişte büyücü ve Lockbit fidye yazılımlarını düşürdüğü bilinen şüpheli bir Çin tabanlı tehdit oyuncusudur.
Saldırı zincirleri, spinstall0.aspx web kabuğu yükünü dağıtmak için şirket içi SharePoint sunucularını hedefleyen CVE-2025-49706 ve CVE-2025-49704’ün bir uzaktan kod yürütme kırılganlığının kullanılmasını gerektirir.
Microsoft, “Bu ilk erişim, SharePoint’i destekleyen W3WP.EXE işlemini kullanarak komut yürütme yapmak için kullanılır.” Dedi. “Storm-2603 daha sonra Whoami de dahil olmak üzere kullanıcı bağlamını numaralandırmak ve ayrıcalık seviyelerini doğrulamak için bir dizi keşif komutu başlatır.”
Saldırılar, Tehdit Oyuncusu hedef ağın derinliklerine girerken CMD.EXE ve toplu komut dosyalarının kullanımı ile karakterize edilirken, Services.exe Windows kayıt defterini değiştirerek Microsoft Defender korumalarını kapatmak için istismar edilir.
Kalıcılık için spinstall0.aspx’ten yararlanmaya ek olarak, Storm-2603, Microsoft’un şüpheli .NET düzenekleri olarak tanımladığı şeyi başlatmak için planlanmış görevler oluşturma ve İnternet Bilgi Hizmetleri (IIS) bileşenlerini değiştirme gözlemlenmiştir. Bu eylemler, kurbanlar ilk erişim vektörlerini takmak için adımlar atsa bile devam eden erişimi sağlamak için tasarlanmıştır.
Saldırıların diğer dikkate değer yönlerinden bazıları, Mimikatz’ın Yerel Güvenlik İdaresi Alt Sistemi Hizmeti (LSASS) belleğini hedefleyerek ve daha sonra Psexec ve Impacket Araç Seti kullanarak yanal hareket yapmaya devam ederek kimlik bilgilerine yerleştirilmesini içerir.
Microsoft, “Storm-2603 daha sonra Warlock fidye yazılımlarını tehlikeye atılan ortamlarda dağıtmak için grup politika nesnelerini (GPO) değiştirme gözlemleniyor.” Dedi.
Mitigasyon olarak, kullanıcılar aşağıdaki adımları izlemeleri istenir –
- Şirket içi Microsoft SharePoint Server’ın desteklenen sürümlerine yükseltme
- En son güvenlik güncellemelerini uygulayın
- Antimalware tarama arayüzünün açıldığından ve doğru şekilde yapılandırıldığından emin olun
- Endpoint veya eşdeğer çözümler için Microsoft Defender’ı dağıtın
- SharePoint Sunucusu ASP.NET MAKİNE KAYI
- IISreset.exe kullanarak tüm SharePoint sunucularında IIS’yi yeniden başlatın (AMSI etkinleştirilemiyorsa, yeni güvenlik güncellemesini yükledikten sonra anahtarları döndürmeniz ve IIS’yi yeniden başlatmanız önerilir)
- Olay Müdahale Planını Uygula
Geliştirme, SharePoint sunucu kusurlarının zaten en az 400 kurban iddia eden büyük ölçekli sömürü altına girmesiyle geliyor. Keten Typhoon (AKA APT27) ve Violet Typhoon (AKA Apt31), kötü niyetli aktiviteye bağlı iki Çinli hack grubudur. Çin iddiaları reddetti.
Çin Dışişleri Bakanlığı sözcüsü Guo Jiakun, “Siber güvenlik tüm ülkelerin karşılaştığı yaygın bir zorluktur ve diyalog ve işbirliği yoluyla ortaklaşa ele alınmalıdır.” Dedi. Diyerek şöyle devam etti: “Çin, yasalara uygun olarak hackleme faaliyetlerine karşı çıkıyor ve savaşıyor. Aynı zamanda, siber güvenlik meseleleri mazereti altında Smears’a ve Çin’e saldırılara karşı çıkıyoruz.”