В современном цифровом мире вопросы кибербезопасности находятся на острие внимания всех организаций, использующих корпоративные информационные технологии. Недавние события, связанные с массовыми атаками на серверы Microsoft SharePoint, вновь продемонстрировали, насколько серьезной угрозой могут быть уязвимости в широко распространенных программных решениях. 22 июля 2025 года Microsoft официально объявила, что серия атак на уязвимости SharePoint Server связана с активностью трех китайских хакерских групп, получивших названия Linen Typhoon, Violet Typhoon и Storm-2603. Эти группы уже известны специалистам по кибербезопасности своими широкомасштабными операциями против различных государственных и коммерческих учреждений по всему миру. Linen Typhoon, также известная под множеством кодовых имен, таких как APT27, Bronze Union и Emissary Panda, отличается высокой степенью мастерства и активна с 2012 года.
Эта группа была связана с распространением хорошо известных вредоносных программ, включая SysUpdate, HyperBro и PlugX. Деятельность Linen Typhoon имеет долгую историю целенаправленных атак, нацеленных на получение контроля над инфраструктурами организаций с последующим шпионажем и кражей данных. Violet Typhoon или APT31, версия которой также известна под названиями Bronze Vinewood и Judgement Panda, действует с 2015 года. Эта группа специализируется на атаках, направленных на правительственные структуры и бизнесы, в том числе в США и нескольких странах Европы, таких как Финляндия и Чехия. Техника, которой пользуются Violet Typhoon, довольно сложна и включает использование эксплойтов, позволяющих обходить классические средства безопасности.
Storm-2603 — менее изученный, но не менее опасный игрок в киберполитике. Это китайская группа, известная развертыванием различных видов программ-вымогателей, включая широко распространенный LockBit и менее известный Warlock. Их участие в атаках на SharePoint серверы сигнализирует о растущем интересе к использованию конкретных уязвимостей для проникновения в корпоративные сети. Основные уязвимости, которые получили более широкое распространение и были использованы этими хакерскими группами, связаны с SharePoint Server. Речь идет о недостаточных патчах и неполных исправлениях для таких критических уязвимостей как CVE-2025-49706 — ошибка типа spoofing, а также CVE-2025-49704, представляющая собой возможность удаленного выполнения кода.
Проблемы в безопасности еще больше усугубились появлением новых обходных техник, получивших CVE-2025-53771 и CVE-2025-53770, позволяющих злоумышленникам обходить системы аутентификации и выполнять вредоносный код. Хакеры используют POST-запросы к специфическому ToolPane endpoint в SharePoint, что дает им возможность обойти механизмы аутентификации и выполнить удаленный код на сервере. В результате таких атак злоумышленники загружают на сервер вредоносные веб-оболочки под именами spinstall0.aspx, spinstall.aspx, spinstall1.
aspx или spinstall2.aspx. Эти веб-шеллы открывают полный контроль над уязвимым сервером, позволяя извлекать чувствительные данные, в том числе важные элементы конфигурации, такие как MachineKey — ключи, используемые в рамках механизма ASP.NET для защиты данных и аутентификации. Особое внимание привлекает анализ, проведенный ведущими исследователями в области безопасности, например Ракешем Кришнаном.
Он отметил, что во время проведения судебного расследования была выявлена необычная активность в Microsoft Edge, с использованием трех различных процессов: Network Utility Process, Crashpad Handler и GPU Process. Эти процессы, каждое по-своему, задействованы в Chromium и являются частью архитектуры браузера, но их применение в контексте эксплойтов указывает на попытки обхода песочницы и маскировки вредоносной активности под легитимный трафик. Кроме того, веб-оболочка применяет протокол обновления клиентов Google Client Update Protocol (CUP), что еще больше усложняет обнаружение, так как вредоносный трафик смешивается с обычными запросами обновлений. Для предотвращения дальнейших атак и уменьшения риска проникновения Microsoft рекомендует срочно установить последние обновления безопасности для различных версий SharePoint Server, включая Subscription Edition, 2019 и 2016 года выпуска. Помимо патчей, эксперты подчеркивают важность ротации криптографических ключей ASP.
NET Machine Key, необходимости перезапуска служб IIS, а также включения и правильной настройки Microsoft Defender for Endpoint или иных средств защиты конечных точек. Защита должна быть комплексной и включать обязательное использование Antimalware Scan Interface (AMSI) и антивирусных решений с включенным полнофункциональным режимом (Full Mode). Это существенно повышает шансы своевременного выявления и блокировки вредоносного кода даже на этапах его загрузки и исполнения. Также крайне важно регулярно проводить аудит безопасности и сканирование инфраструктуры на наличие подозрительных файлов и активностей. В свете этих событий организации, использующие SharePoint и иные продукты Microsoft, не должны откладывать процесс обновления и усиления защиты.
Многочисленные инциденты демонстрируют, что китайские хакерские группы продолжают активно использовать уязвимости в продуктах корпорации для проведения операций промышленного шпионажа, дестабилизации работы и получения нелегального доступа к чувствительной информации. Необходимо понимать, что подтверждение активности именно этих трех групп совпадает с различными недавними атаками китайских организаций, связанными с эксплойтами в критическом программном обеспечении Microsoft. Вплоть до ареста в Италии китайского гражданина, обвиняемого в хакерских атаках с использованием уязвимостей Microsoft Exchange Server, свидетельствует о системном характере подобных киберопераций и серьезности угрозы. Эксперты призывают компании к тесному сотрудничеству с поставщиками решений по безопасности, настройке и внедрению средств мониторинга для своевременного обнаружения признаков компрометации. Только так можно сохранить информационную целостность, конфиденциальность и доступность систем, минимизируя риски международных киберугроз.
В заключение стоит отметить, что постоянное развитие и совершенствование методов защиты в сочетании с оперативным устранением уязвимостей — лучший способ противодействия современным кибератакам. Организациям важно внимательно следить за обновлениями безопасности, совершенствовать внутренние политики по ИТ-безопасности и обеспечивать регулярное обучение сотрудников основам кибергигиены, чтобы сохранить устойчивость в условиях постоянно меняющегося киберландшафта.
