Microsoft заявила, что две китайские государственные группировки и отдельный злоумышленник, базирующийся в Китае, используют уязвимости нулевого дня, которые впервые вызвали хаос на серверах SharePoint в минувшие выходные .
Как сообщила во вторник в своем блоге служба Microsoft Threat Intelligence, Linen Typhoon и Violet Typhoon — связанные с правительством Китая группы угроз — и злоумышленник, которого Microsoft отслеживает как Storm-2603, используют пару уязвимостей нулевого дня, затрагивающих локальные серверы SharePoint.
По словам исследователей, уязвимости нулевого дня — CVE-2025-53770 и CVE-2025-53771 — массово использовались для проникновения в сотни организаций по всему миру, охватывая различные секторы, включая государственные учреждения.
Обе уязвимости представляют собой варианты ранее обнаруженных уязвимостей, которые Microsoft уже устранила в своём обновлении безопасности ранее в этом месяце. Обнаружив новые уязвимости, Microsoft в спешном порядке приступила к разработке исправлений, выпустив обновления для всех версий SharePoint к вечеру понедельника.
Атаки продолжаются и распространяются.
«Учитывая быстрое распространение этих эксплойтов, Microsoft с высокой степенью уверенности прогнозирует, что злоумышленники продолжат интегрировать их в свои атаки на локальные системы SharePoint, на которые не установлены исправления», — сообщили исследователи Microsoft Threat Intelligence в своем блоге.
Подчеркивая всеобщую тревогу, вызванную атаками, Агентство по кибербезопасности и безопасности инфраструктуры выпустило редкое для выходных предупреждение об активных атаках и в воскресенье добавило дефект в свой каталог известных эксплуатируемых уязвимостей .
Первоначальная оценка атрибуции Microsoft совпадает с результатами других служб реагирования на инциденты и исследователей, которые активно борются с угрозой, которую эти атаки представляют для критической инфраструктуры. Информация о мотивах и происхождении группировок, стоящих за атаками, также вышла за рамки Китая и его правительства.
Чарльз Кармакал, главный технический директор Mandiant Consulting, отметил, что ранняя эксплуатация уязвимости нулевого дня носила массовый и случайный характер.
«Как минимум один из субъектов, ответственных за эту раннюю эксплуатацию уязвимости, является источником угрозы, связанным с Китаем», — написал он в электронном письме. «Крайне важно понимать, что сейчас эту уязвимость активно используют сразу несколько субъектов. Мы полностью ожидаем, что эта тенденция сохранится, поскольку другие субъекты угроз, движимые различными мотивами, также воспользуются этой уязвимостью».
Исследователи Microsoft заявили, что Linen Typhoon, Violet Typhoon и Storm-2603 пытались эксплуатировать ранее раскрытые уязвимости SharePoint — CVE-2025-49706 и CVE-2025-49704 — еще 7 июля. Typhoon — это название, которое Microsoft применяет к государственным группам угроз, исходящим из Китая, а Storm — это название, которое компания использует для групп угроз, находящихся в разработке.
По данным Microsoft, вредоносная программа Linen Typhoon, действующая с 2012 года, фокусируется на краже интеллектуальной собственности у организаций в сфере правительства, обороны, стратегического планирования и прав человека.
Violet Typhoon, появившаяся в 2015 году, — это шпионская группировка, нацеленная на бывших государственных служащих и военных, неправительственные организации, аналитические центры, высшие учебные заведения, СМИ, финансы и здравоохранение в США, Европе и Восточной Азии. «Эта группа постоянно сканирует уязвимости в открытой веб-инфраструктуре атакуемых организаций, используя обнаруженные уязвимости для установки веб-шеллов», — заявили исследователи Microsoft.
По данным Microsoft, Storm-2603 — это китайский злоумышленник, пытающийся украсть MachineKeys со скомпрометированных серверов SharePoint. Исследователи предупреждают, что кража криптографических ключей может позволить злоумышленникам сохранять постоянный доступ к зараженным средам после установки исправления.
Как сообщила во вторник в своем блоге служба Microsoft Threat Intelligence, Linen Typhoon и Violet Typhoon — связанные с правительством Китая группы угроз — и злоумышленник, которого Microsoft отслеживает как Storm-2603, используют пару уязвимостей нулевого дня, затрагивающих локальные серверы SharePoint.
По словам исследователей, уязвимости нулевого дня — CVE-2025-53770 и CVE-2025-53771 — массово использовались для проникновения в сотни организаций по всему миру, охватывая различные секторы, включая государственные учреждения.
Обе уязвимости представляют собой варианты ранее обнаруженных уязвимостей, которые Microsoft уже устранила в своём обновлении безопасности ранее в этом месяце. Обнаружив новые уязвимости, Microsoft в спешном порядке приступила к разработке исправлений, выпустив обновления для всех версий SharePoint к вечеру понедельника.
Атаки продолжаются и распространяются.
«Учитывая быстрое распространение этих эксплойтов, Microsoft с высокой степенью уверенности прогнозирует, что злоумышленники продолжат интегрировать их в свои атаки на локальные системы SharePoint, на которые не установлены исправления», — сообщили исследователи Microsoft Threat Intelligence в своем блоге.
Подчеркивая всеобщую тревогу, вызванную атаками, Агентство по кибербезопасности и безопасности инфраструктуры выпустило редкое для выходных предупреждение об активных атаках и в воскресенье добавило дефект в свой каталог известных эксплуатируемых уязвимостей .
Первоначальная оценка атрибуции Microsoft совпадает с результатами других служб реагирования на инциденты и исследователей, которые активно борются с угрозой, которую эти атаки представляют для критической инфраструктуры. Информация о мотивах и происхождении группировок, стоящих за атаками, также вышла за рамки Китая и его правительства.
Чарльз Кармакал, главный технический директор Mandiant Consulting, отметил, что ранняя эксплуатация уязвимости нулевого дня носила массовый и случайный характер.
«Как минимум один из субъектов, ответственных за эту раннюю эксплуатацию уязвимости, является источником угрозы, связанным с Китаем», — написал он в электронном письме. «Крайне важно понимать, что сейчас эту уязвимость активно используют сразу несколько субъектов. Мы полностью ожидаем, что эта тенденция сохранится, поскольку другие субъекты угроз, движимые различными мотивами, также воспользуются этой уязвимостью».
Исследователи Microsoft заявили, что Linen Typhoon, Violet Typhoon и Storm-2603 пытались эксплуатировать ранее раскрытые уязвимости SharePoint — CVE-2025-49706 и CVE-2025-49704 — еще 7 июля. Typhoon — это название, которое Microsoft применяет к государственным группам угроз, исходящим из Китая, а Storm — это название, которое компания использует для групп угроз, находящихся в разработке.
По данным Microsoft, вредоносная программа Linen Typhoon, действующая с 2012 года, фокусируется на краже интеллектуальной собственности у организаций в сфере правительства, обороны, стратегического планирования и прав человека.
Violet Typhoon, появившаяся в 2015 году, — это шпионская группировка, нацеленная на бывших государственных служащих и военных, неправительственные организации, аналитические центры, высшие учебные заведения, СМИ, финансы и здравоохранение в США, Европе и Восточной Азии. «Эта группа постоянно сканирует уязвимости в открытой веб-инфраструктуре атакуемых организаций, используя обнаруженные уязвимости для установки веб-шеллов», — заявили исследователи Microsoft.
По данным Microsoft, Storm-2603 — это китайский злоумышленник, пытающийся украсть MachineKeys со скомпрометированных серверов SharePoint. Исследователи предупреждают, что кража криптографических ключей может позволить злоумышленникам сохранять постоянный доступ к зараженным средам после установки исправления.
