Deep Web
Η Microsoft Συνδέει Επιθέσεις SharePoint με Κινέζικες Ομάδες Χάκερ
Η Microsoft συνδέει επιθέσεις SharePoint με τρεις κινέζικες ομάδες χάκερ, αποκαλύπτοντας νέα δεδομένα για την κυβερνοασφάλεια.
Η αποκάλυψη της Microsoft για τις επιθέσεις
Η Microsoft ανακοίνωσε επίσημα ότι οι εκμεταλλεύσεις ευπαθειών σε SharePoint Server που είναι προσβάσιμες από το διαδίκτυο συνδέονται με δύο ομάδες χάκερ από την Κίνα, γνωστές ως Linen Typhoon και Violet Typhoon, από τις 7 Ιουλίου 2025. Αυτή η αποκάλυψη επιβεβαιώνει προηγούμενες αναφορές και αναδεικνύει τη σοβαρότητα της κατάστασης.
Επιπλέον, η Microsoft παρατήρησε και μια τρίτη ομάδα απειλής με έδρα την Κίνα, που παρακολουθείται ως Storm-2603, να χρησιμοποιεί τις ίδιες ευπάθειες για να αποκτήσει αρχική πρόσβαση σε οργανισμούς-στόχους.
«Με την ταχεία υιοθέτηση αυτών των εκμεταλλεύσεων, η Microsoft αξιολογεί με υψηλή βεβαιότητα ότι οι επιτιθέμενοι θα συνεχίσουν να τις ενσωματώνουν στις επιθέσεις τους εναντίον μη ενημερωμένων συστημάτων SharePoint που βρίσκονται on-premises», ανέφερε η εταιρεία σε μια έκθεση που δημοσιεύθηκε σήμερα.
Ποιοι είναι οι Linen Typhoon και Violet Typhoon;
Οι Linen Typhoon (γνωστοί και ως APT27, Bronze Union, Emissary Panda, Iodine, Lucky Mouse, Red Phoenix, και UNC215) είναι ενεργοί από το 2012 και έχουν συνδεθεί με οικογένειες κακόβουλου λογισμικού όπως τα SysUpdate, HyperBro, και PlugX. Αυτή η ομάδα έχει ένα μακρύ ιστορικό επιθέσεων και είναι γνωστή για την επιμονή και την πολυπλοκότητα των επιθέσεών της.
Οι Violet Typhoon (γνωστοί και ως APT31, Bronze Vinewood, Judgement Panda, Red Keres, και Zirconium) είναι ενεργοί από το 2015 και έχουν στοχεύσει επιθέσεις στις Ηνωμένες Πολιτείες, τη Φινλανδία και την Τσεχία. Η ομάδα αυτή έχει επικεντρωθεί σε κυβερνητικούς και στρατηγικούς στόχους, χρησιμοποιώντας εξελιγμένες τεχνικές για να παρακάμψει τις άμυνες.
Η Storm-2603 είναι μια ύποπτη ομάδα απειλής με έδρα την Κίνα, γνωστή για την ανάπτυξη ransomware όπως το Warlock και το LockBit στο παρελθόν. Η δραστηριότητά τους δείχνει μια τάση για γρήγορη προσαρμογή και εκμετάλλευση νέων ευπαθειών.
Οι τεχνικές λεπτομέρειες των ευπαθειών
Οι ευπάθειες που επηρεάζουν τους on-premises SharePoint servers εκμεταλλεύονται ελλιπείς διορθώσεις για το CVE-2025-49706, ένα σφάλμα παραποίησης, και το CVE-2025-49704, ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα. Οι παρακάμψεις έχουν λάβει τους αναγνωριστικούς κωδικούς CVE-2025-53771 και CVE-2025-53770, αντίστοιχα.
Στις επιθέσεις που παρατήρησε η Microsoft, οι επιτιθέμενοι εκμεταλλεύονται τους SharePoint servers μέσω ενός POST αιτήματος στο endpoint ToolPane, οδηγώντας σε παράκαμψη αυθεντικοποίησης και απομακρυσμένη εκτέλεση κώδικα.
Όπως αποκάλυψαν άλλοι προμηθευτές κυβερνοασφάλειας, οι αλυσίδες μόλυνσης ανοίγουν το δρόμο για την ανάπτυξη ενός web shell με το όνομα “spinstall0.aspx” (γνωστό και ως spinstall.aspx, spinstall1.aspx, ή spinstall2.aspx) που επιτρέπει στους επιτιθέμενους να ανακτούν και να κλέβουν δεδομένα MachineKey.
Η στρατηγική των επιτιθέμενων
Ο ερευνητής κυβερνοασφάλειας Rakesh Krishnan ανέφερε ότι «τρεις διακριτές κλήσεις του Microsoft Edge εντοπίστηκαν» κατά τη διάρκεια ανάλυσης ενός exploit του SharePoint. Αυτό περιλαμβάνει το Network Utility Process, το Crashpad Handler, και το GPU Process.
«Κάθε μία εξυπηρετεί μια μοναδική λειτουργία μέσα στην αρχιτεκτονική του Chromium, αλλά συλλογικά αποκαλύπτει μια στρατηγική μιμητισμού συμπεριφοράς και παράκαμψης sandbox», σημείωσε ο Krishnan, επισημαίνοντας επίσης τη χρήση του Client Update Protocol (CUP) της Google από το web shell για να «αναμειχθεί η κακόβουλη κίνηση με τις κανονικές ενημερώσεις».
Μέτρα προστασίας και προηγούμενες επιθέσεις
Για να μετριαστεί ο κίνδυνος από την απειλή, είναι απαραίτητο οι χρήστες να εφαρμόσουν την τελευταία ενημέρωση για το SharePoint Server Subscription Edition, το SharePoint Server 2019, και το SharePoint Server 2016, να περιστρέψουν τα machine keys του ASP.NET στους SharePoint servers, να επανεκκινήσουν τις Υπηρεσίες Πληροφοριών Διαδικτύου (IIS), και να αναπτύξουν το Microsoft Defender for Endpoint ή ισοδύναμες λύσεις.
Συνιστάται επίσης η ενσωμάτωση και ενεργοποίηση του Antimalware Scan Interface (AMSI) και του Microsoft Defender Antivirus (ή παρόμοιων λύσεων) για όλες τις on-premises εγκαταστάσεις του SharePoint και η ρύθμιση του AMSI για ενεργοποίηση σε Full Mode.
«Πρόσθετοι επιτιθέμενοι μπορεί να χρησιμοποιήσουν αυτές τις εκμεταλλεύσεις για να στοχεύσουν μη ενημερωμένα συστήματα SharePoint που βρίσκονται on-premises, τονίζοντας περαιτέρω την ανάγκη για άμεση εφαρμογή μέτρων μετριασμού και ενημερώσεων ασφαλείας από τους οργανισμούς», ανέφερε η Microsoft.
Ενώ η επιβεβαίωση από τη Microsoft είναι η τελευταία καμπάνια hacking που συνδέεται με την Κίνα, είναι επίσης η δεύτερη φορά που οι απειλητικοί παράγοντες ευθυγραμμισμένοι με το Πεκίνο έχουν στοχεύσει τον κατασκευαστή των Windows. Τον Μάρτιο του 2021, η συλλογική ομάδα που παρακολουθείται ως Silk Typhoon (γνωστή και ως Hafnium) συνδέθηκε με μια μαζική εκμετάλλευση που αξιοποίησε πολλαπλά zero-days στον Exchange Server.
Νωρίτερα αυτόν τον μήνα, ένας 33χρονος Κινέζος υπήκοος, ο Xu Zewei, συνελήφθη στην Ιταλία και κατηγορήθηκε για κυβερνοεπιθέσεις εναντίον αμερικανικών οργανισμών και κυβερνητικών υπηρεσιών, χρησιμοποιώντας τις ευπάθειες του Microsoft Exchange Server, γνωστές ως ProxyLogon.
