Китайские группировки применили ToolShell-уязвимость спустя короткое время после июньского апдейта Microsoft
Дата: 22.10.2025Просмотров: 1165
Китайские группировки применили ToolShell-уязвимость спустя короткое время после июньского апдейта Microsoft
Подразделения китайского кибершпионажа успешно эксплуатировали уязвимость безопасности ToolShell в продуктах Microsoft SharePoint, напав на телеком-компании на Ближнем Востоке вскоре после публикации подробностей об ошибке и её устранения в июне 2025-го.
Помимо ближневосточной организации, объектом нападений стали государственные структуры африканской страны, правительства южноамериканских государств, американский вуз, возможно, государственная ИТ-инфраструктура африканского государства, правительство региона на Ближнем Востоке и европейская финансовая организация.
Исследователи группы Threat Hunter Team компании Broadcom сообщили, что нападения проводились путем эксплуатации критической проблемы CVE-2025-53770, затрагивающей локальные серверы SharePoint и позволяющей проводить удалённое выполнение команд и обход контроля доступа.
Проблема CVE-2025-53770 рассматривается как способ обойти заплатки, выпущенные для ошибок CVE-2025-49704 и CVE-2025-49706, и активно использовалась несколькими китайскими группировками, такими как Linen Typhoon («Budworm»), Violet Typhoon («Sheathminer») и Storm-2603, ответственными за распространение шифровальщиков типа Warlock, LockBit и Babuk.
Последние исследования Broadcom показывают, что атака привлекла значительно большее число китайских операторов. Среди них оказалась Salt Typhoon («Glowworm»), задействовавшая инструмент ToolShell для внедрения троянов вроде Zingdoor, ShadowPad и KrustyLoader в сети телекоммуникационного оператора и государственных учреждений Африки.
Загрузчик KrustyLoader, разработанный на языке программирования Rust, появился ещё в январе 2024 года и использовался разведывательной группой UNC5221 в рамках кампаний по взлому системы управления конечными устройствами Ivanti EPMM и среды SAP NetWeaver.
Нападение на южноамериканские госучреждения и американские университеты сопровождалось применением иных неизвестных багов для первичного проникновения, последующими попытками захвата контроля над серверами Apache и SQL, обслуживающими приложения Adobe ColdFusion, а также внедрением вредоносных библиотек через технику динамической подгрузки DLL-файлов.
Во многих случаях зафиксированы случаи эксплуатации дырки CVE-2021-36942 (PetitPotam) для увеличения прав пользователей и полного захвата контроллеров доменов, а также применение популярных бесплатных и теневых утилит LotL для разведки, выгрузки данных и похищения учетных записей.
«Характер целей и специфичные инструменты схожи с операциями, ассоциируемыми с Glowworm», комментируют специалисты Symantec. Однако чётких признаков принадлежности всех действий именно этой группе пока недостаточно, но очевидна причастность китайских хакеров.
Общий характер операций показывает заинтересованность преступников в сборе конфиденциальных данных и сохранении долгосрочного незаметного присутствия внутри сетей организаций-жертв, очевидно, в целях промышленного и политического шпионажа.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
Группировка, связанная с Ираном, провела масштабную кибершпионскую операцию против сотен объектов
Группировка, связанная с Ираном, провела масштабную кибершпионскую операцию против сотен объектов
Операцию, проведённую иранской государственной хакерской группой MuddyWater, связывают с новой крупной кампанией, направленной на компрометацию более сотни компаний и ведомств региона Ближнего Востока и Северной Африки (MENA). Для достижения своей цели злоумышленники использовали взломанные почтовые аккаунты, отправляя жертвам замаскированные фишинговые письма с целью внедрения вредоносного программного обеспечения.
Российские учёные нашли способ значительно снизить стоимость титановых имплантатов
Российские учёные нашли способ значительно снизить стоимость титановых имплантатов
Специалисты Московского авиационного института совершили прорыв в области производства медицинских имплантатов, создав инновационную технологию обработки титановых протезов суставов.
Инновационная система искусственного интеллекта ускоряет диагностику сердечных заболеваний
Инновационная система искусственного интеллекта ускоряет диагностику сердечных заболеваний
Российские исследователи совершили значительный прорыв в области кардиологии. Специалисты из Пензенского государственного университета (ПГУ) в сотрудничестве с коллегами из Пензенского государственного технологического университета (ПензГТУ) создали уникальную технологию диагностики сердечно-сосудистых заболеваний на основе искусственного интеллекта.