Microsoft heeft onthuld dat een van de dreigingsacteurs achter de actieve exploitatie van SharePoint -fouten inzet is Warlock Ransomware op gerichte systemen.
De tech -gigant, in een update die woensdag wordt gedeeld, zei dat de bevindingen gebaseerd zijn op een “uitgebreide analyse en bedreigingsinformatie van onze voortdurende monitoring van exploitatieactiviteit door Storm-2603. “
De dreigingsacteur die wordt toegeschreven aan de financieel gemotiveerde activiteit is een vermoedelijke in China gevestigde dreigingsacteur waarvan bekend is dat hij in het verleden Warlock en Lockbit-ransomware laat vallen.
De aanvalsketens omvatten de exploitatie van CVE-2025-49706, een spoofing-kwetsbaarheid en CVE-2025-49704, een externe code-uitvoeringskwetsbaarheid, gericht op ongecontroleerde on-premises SharePoint-servers om de spinstall0.aspx web shell-payload te implementeren.
“Deze initiële toegang wordt gebruikt om de uitvoering van de opdracht uit te voeren met behulp van het W3WP.exe -proces dat SharePoint ondersteunt,” zei Microsoft. “Storm-2603 initieert vervolgens een reeks ontdekkingsopdrachten, waaronder WHOAMI, om de context van de gebruiker op te sommen en privilege-niveaus te valideren.”
De aanvallen worden gekenmerkt door het gebruik van cmd.exe en batch -scripts als de dreigingsacteur die dieper in het doelnetwerk breekt, terwijl Services.exe wordt misbruikt om de bescherming van Microsoft Defender uit te schakelen door het Windows -register te wijzigen.
Naast het gebruik van spinStall0.aspx voor persistentie, is Storm-2603 waargenomen om geplande taken te creëren en de componenten van Internet Information Services (IIS) te wijzigen om te lanceren wat Microsoft beschreef als verdachte .NET-assemblages. Deze acties zijn ontworpen om doorlopende toegang te garanderen, zelfs als de slachtoffers stappen ondernemen om de initiële toegangsvectoren aan te sluiten.
Sommige van de andere opmerkelijke aspecten van de aanvallen zijn de inzet van Mimikatz om referenties te oogsten door zich te richten op het Subsystem Service Service (LSASS) -geheugen (LSASS) en vervolgens doorgaan met het uitvoeren van een laterale beweging met behulp van PSEXEC en de Impacket Toolkit.
“Storm-2603 wordt vervolgens geobserveerd wijzigen Group Policy Objects (GPO) om Warlock-ransomware in gecompromitteerde omgevingen te distribueren,” zei Microsoft.
Als mitigaties worden gebruikers aangespoord om de onderstaande stappen te volgen –
- Upgrade naar ondersteunde versies van on-premises Microsoft SharePoint Server
- Pas de nieuwste beveiligingsupdates toe
- Zorg ervoor dat de antimalware -scaninterface wordt ingeschakeld en correct is geconfigureerd
- Microsoft Defender implementeren voor eindpunt, of gelijkwaardige oplossingen
- Roteer SharePoint Server ASP.NET -machinetoetsen
- Start IIS opnieuw op op alle SharePoint -servers met behulp van iisreset.exe (als AMSI niet kan worden ingeschakeld, wordt geadviseerd om de sleutels te roteren en IIS opnieuw te starten na het installeren van de nieuwe beveiligingsupdate)
- Implementeer een incidentresponsplan
De ontwikkeling komt omdat de SharePoint Server-fouten onder grootschalige exploitatie zijn gekomen en al minstens 400 slachtoffers claimen. Linnen typhoon (aka apt27) en Violet Typhoon (aka apt31) zijn twee andere Chinese hackgroepen die zijn gekoppeld aan de kwaadaardige activiteit. China heeft de aantijgingen ontkend.
“Cybersecurity is een veel voorkomende uitdaging voor alle landen en moet gezamenlijk worden aangepakt door dialoog en samenwerking,” zei de woordvoerder van het Chinese ministerie van Buitenlandse Zaken Guo Jiakun. “China verzet zich tegen en bestrijdt hackactiviteiten in overeenstemming met de wet. Tegelijkertijd verzetten we ons tegen uitstrijkjes en aanvallen op China onder het excuus van cybersecurity -kwesties.”
