Подразделения китайского кибершпионажа успешно эксплуатировали уязвимость безопасности ToolShell в продуктах Microsoft SharePoint, напав на телеком-компании на Ближнем Востоке вскоре после публикации подробностей об ошибке и её устранения в июне 2025-го.
Помимо ближневосточной организации, объектом нападений стали государственные структуры африканской страны, правительства южноамериканских государств, американский вуз, возможно, государственная ИТ-инфраструктура африканского государства, правительство региона на Ближнем Востоке и европейская финансовая организация.
Исследователи группы Threat Hunter Team компании Broadcom сообщили, что нападения проводились путем эксплуатации критической проблемы CVE-2025-53770, затрагивающей локальные серверы SharePoint и позволяющей проводить удалённое выполнение команд и обход контроля доступа.
Проблема CVE-2025-53770 рассматривается как способ обойти заплатки, выпущенные для ошибок CVE-2025-49704 и CVE-2025-49706, и активно использовалась несколькими китайскими группировками, такими как Linen Typhoon («Budworm»), Violet Typhoon («Sheathminer») и Storm-2603, ответственными за распространение шифровальщиков типа Warlock, LockBit и Babuk.
Последние исследования Broadcom показывают, что атака привлекла значительно большее число китайских операторов. Среди них оказалась Salt Typhoon («Glowworm»), задействовавшая инструмент ToolShell для внедрения троянов вроде Zingdoor, ShadowPad и KrustyLoader в сети телекоммуникационного оператора и государственных учреждений Африки.
Загрузчик KrustyLoader, разработанный на языке программирования Rust, появился ещё в январе 2024 года и использовался разведывательной группой UNC5221 в рамках кампаний по взлому системы управления конечными устройствами Ivanti EPMM и среды SAP NetWeaver.
Нападение на южноамериканские госучреждения и американские университеты сопровождалось применением иных неизвестных багов для первичного проникновения, последующими попытками захвата контроля над серверами Apache и SQL, обслуживающими приложения Adobe ColdFusion, а также внедрением вредоносных библиотек через технику динамической подгрузки DLL-файлов.
Во многих случаях зафиксированы случаи эксплуатации дырки CVE-2021-36942 (PetitPotam) для увеличения прав пользователей и полного захвата контроллеров доменов, а также применение популярных бесплатных и теневых утилит LotL для разведки, выгрузки данных и похищения учетных записей.
«Характер целей и специфичные инструменты схожи с операциями, ассоциируемыми с Glowworm», комментируют специалисты Symantec. Однако чётких признаков принадлежности всех действий именно этой группе пока недостаточно, но очевидна причастность китайских хакеров.
Общий характер операций показывает заинтересованность преступников в сборе конфиденциальных данных и сохранении долгосрочного незаметного присутствия внутри сетей организаций-жертв, очевидно, в целях промышленного и политического шпионажа.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
В вашингтонском Институте предпринимательства (AEI) представили свежий взгляд на будущее мирового лидерства. Аналитик Майкл Бекли в статье для Foreign Affairs предсказывает, что на фоне глобального застоя Америка уверенно идёт к вершинам могущества. Его видение будущего напоминает захватывающий голливудский триллер, где на фоне всеобщего упадка американский флаг продолжает гордо развеваться.
Хакеры, предположительно действующие из Северной Кореи, проводят новую серию нападений на европейский оборонпром посредством фейковых предложений вакансий в рамках продолжительной операции под названием «Идеальная работа».
Передовые технологии получили практическое применение в российско-китайском университете МГУ-ППИ, расположенном в Шэньчжэне. Здесь начал работу уникальный учебный суперкомпьютер, предназначенный для углубленных исследований в сфере материаловедения и инновационных методов геологоразведки. Об этом сообщил декан факультета вычислительной математики и кибернетики Борис Будак в рамках Недели открытой науки БРИКС+.