MY.UAНовини
Увесь світ говорить про хакерську атаку через SharePoint: хто за цим стоїть і хто постраждав
Увесь світ говорить про хакерську атаку через SharePoint: хто за цим стоїть і хто постраждав

Увесь світ говорить про хакерську атаку через SharePoint: хто за цим стоїть і хто постраждав

Що відомо про атаки через SharePoint і хто за ними стоїть?

Хакерська кампанія розпочалась 7 липня 2025 року, коли зловмисники почали активно експлуатувати критичну вразливість у локальних серверах Microsoft SharePoint. Дослідники безпеки з нідерландської компанії Eye Security, які першими виявили масове використання вразливості ввечері 18 липня, спочатку зафіксували десятки скомпрометованих організацій, але потім повідомили, що кількість жертв зросла до 400, пише 24 Канал.

Усе почалося з того, що Eye Security побачила підозрілу активність на SharePoint-сервері одного з клієнтів. Сканування понад 8000 серверів SharePoint по всьому світу показало десятки активно скомпрометованих систем.

Що таке SharePoint?

Microsoft SharePoint – це багатофункціональна веб-платформа, призначена для спільної роботи, управління документами та контентом в організаціях. Вона дозволяє централізувати доступ до корпоративної інформації та додатків, створюючи внутрішні корпоративні сайти, які слугують безпечним місцем для зберігання, організації, спільного використання та доступу до даних з будь-якого пристрою за допомогою браузера. Скільки користувачів має цей сервіс сьогодні, невідомого, але станом на грудень 2020 року, платформою користувалося понад 200 мільйонів людей.

Основні сценарії використання:

  • Управління корпоративним контентом та документами.
  • Створення інтранет-порталів та соціальних мереж.
  • Спільна робота в групах.
  • Персональне хмарне сховище.
  • Розробка користувацьких веб-додатків.
  • Автоматизація робочих процесів.
  • Пошук та аналітика.
  • Безпека та адміністрування.

Технічні деталі атаки

Вразливість отримала назву "ToolShell" від дослідника Дінь Хо Ань Хоа з Viettel Cyber Security, який першим виявив її на хакерському змаганні Pwn2Own у Берліні в травні 2025 року. За свою знахідку він отримав винагороду у розмірі 100 тисяч доларів. Атака використовує ланцюжок з двох критичних вразливостей: CVE-2025-53770 (оцінка CVSS 9.8) та CVE-2025-53771 (оцінка CVSS 6.3). Перша дозволяє віддалене виконання коду, а друга – обхід автентифікації через підробку заголовків HTTP.

Зловмисники надсилають спеціально сформований POST-запит до кінцевої точки /_layouts/15/ToolPane.aspx з підробленим заголовком Referer: /_layouts/SignOut.aspx, що дозволяє обійти перевірку автентифікації. Після успішної експлуатації вони завантажують веб-оболонку з назвою spinstall0.aspx, яка витягує криптографічні ключі SharePoint.

Хто за цим стоїть?

Microsoft офіційно підтверджує, що за експлуатацією вразливості, яку вона не виправляла два місяці, стоять три китайські хакерські групи. Компанія виявила участь двох відомих державних акторів: Linen Typhoon та Violet Typhoon, а також третьої групи Storm-2603.

  • Linen Typhoon (також відома як APT27, Emissary Panda, Bronze Union) діє з 2012 року і спеціалізується на крадіжці інтелектуальної власності. Група переважно націлюється на організації, пов'язані з урядом, оборонною сферою, стратегічним плануванням та правами людини.
  • Violet Typhoon (APT31, Bronze Vinewood, Judgment Panda) активна з 2015 року і займається шпигунством. Вона в основному атакує колишніх урядовців та військових, неурядові організації, аналітичні центри, вищі навчальні заклади, медіа, фінансові та медичні установи в США, Європі та Східній Азії.
  • Storm-2603 – менш відома група, щодо китайського походження якої Microsoft має "середню впевненість". Раніше вона використовувала програми-вимагачі Warlock та Lockbit. Її поточні цілі наразі лишаються незрозумілими.

Хто постраждав?

Серед найбільш резонансних жертв – Національне управління ядерної безпеки США (NNSA), напівавтономне агентство в складі Міністерства енергетики, яке відповідає за проєктування, обслуговування та транспортування американського ядерного арсеналу.

Речник Міністерства енергетики підтвердив, що експлуатація вразливості SharePoint почалася 18 липня й торкнулася всього департаменту, включаючи NNSA.

Департамент зазнав мінімального впливу завдяки широкому використанню хмарної платформи Microsoft M365 та дуже ефективних систем кібербезпеки,
– заявив прес-секретар Міністерства енергетики Бен Дітдеріх в інтерв'ю BleepingComputer.

Окрім NNSA, постраждали також Міністерство освіти США, Департамент доходів Флориди, Генеральна асамблея Род-Айленда, а також урядові агентства в Європі та на Близькому Сході.

Як зреагувала Microsoft?

Microsoft випустила екстрені оновлення безпеки 19 липня для SharePoint Subscription Edition та SharePoint Server 2019, а 21 липня – для SharePoint Server 2016. Компанія також рекомендує організаціям провести ротацію ключів машини SharePoint Server ASP.NET та увімкнути інтерфейс сканування антивірусних програм (AMSI).

Агентство кібербезпеки США (CISA) додало CVE-2025-53770 до свого каталогу відомих експлуатованих вразливостей з терміновим дедлайном для усунення.

Експерти також попереджають, що організації з локальними серверами SharePoint, підключеними до інтернету, повинні вважати свої системи скомпрометованими.

Що каже Китай?

Китайський уряд заперечує будь-яку причетність до атак. Посольство Китаю у Вашингтоні заявило, що "Китай рішуче виступає проти всіх форм кібератак та кіберзлочинів" і закликало "приймати професійне та відповідальне ставлення при характеристиці кіберінцидентів".

Що далі?

За оцінками дослідників з Censys, понад 10 тисяч організацій у світі можуть бути під загрозою через цю вразливість. Найбільша кількість потенційно вразливих серверів знаходиться в США, за ними йдуть Нідерланди, Велика Британія та Канада.

Експерти з Palo Alto Networks назвали цю вразливість "мрією для операторів вимагачів", оскільки вона дозволяє зловмисникам отримати повний контроль над серверами та переміщатися корпоративними мережами. Дослідники попереджають, що кампанія, ймовірно, триватиме, оскільки інші хакерські групи також намагатимуться використати цю вразливість. Саме тому кожна організація, що використовує SharePoint, повинна якнайшвидше провести оновлення системи.

Поділитися
Поділитися сюжетом
Джерело матеріала
Вуди Аллен попал в базу Миротворца
Корреспондент
2025-08-25T20:30:10Z
Сразу минус 10 лет: стилист назвал три правила, как зрительно уменьшить возраст
Gazeta UA
2025-09-05T23:03:08Z
Умер Джорджо Армани: кому достанется империя бездетного модельера
Новости Украины
2025-09-05T19:18:06Z
Световой меч Дарта Вейдера установил рекорд на аукционе
Корреспондент
2025-09-05T18:29:54Z
Всегда будете в тренде: Андре Тан рассказал о главных правилах сочетания цветов
Знай
2025-09-05T18:29:40Z
"Декстер: Воскресение" завершил первый сезон и собрал высокие оценки
Gazeta UA
2025-09-05T18:29:39Z
Рамина на Мальдивах показала фигуру без фильтров и фотошопа
Gazeta UA
2025-09-05T18:29:34Z
"Выучила его мозг до деталей" - жена Виктора Павлика рассказала о задержке речи сына
Gazeta UA
2025-09-05T18:29:24Z
Премьеры недели: Полякова в клипе похитила Ефросинину, а "Мертвий півень" сжег русскую литературу
Комсомольская правда
2025-09-05T18:28:46Z
Американская компания Keurig Dr Pepper приобретет производителя кофе Jacobs
Корреспондент
2025-08-25T18:30:10Z
Отопительный сезон под угрозой: "Нафтогаз" просит помощи у международных партнеров
Хвиля
2025-09-06T03:06:51Z
В августе Украина стала пятой в Европе по цене электроэнергии
UAToday
2025-09-06T02:48:43Z
Ужгород получит прямую железнодорожную связь с четырьмя городами ЕС: когда старт рейсов
UAToday
2025-09-06T02:48:35Z
Дефицит овощей в Днепропетровской области: критические проблемы могут изменить ситуацию на рынке
Политека
2025-09-06T02:30:45Z
Осталось меньше месяца: в Ощадбанке просят клиентов снять все деньги со счетов
Знай
2025-09-06T02:12:16Z
РФ за экспорт оружия получает наличные в больших мешках - СМИ
Корреспондент
2025-09-06T00:03:18Z
Глава "Сбербанка" заявил о "технической стагнации" российской экономики
Хвиля
2025-09-05T21:30:22Z
Осенний удар по кошелькам: украинцев предупредили о подорожании важного продукта
Знай
2025-09-05T20:12:00Z
У соглашения с США об оружии на 100 миллиардов долларов есть неприятный "подводный камень" — NBC News
Telegraf
2025-09-06T03:09:13Z
СМИ раскрыли план о создании "буферной зоны" в Украине после заключения мира с РФ. Чьи войска будут ее охранять?
UAToday
2025-09-06T02:48:59Z
Зеленский раскрыл первые детали встречи с Фицо
UAToday
2025-09-06T02:48:45Z
Малюк раскрыл, куда россияне спрятали свои самолеты после операции "Паутина"
UAToday
2025-09-06T02:48:07Z
Новая глава МИД Британии Иветт Купер: BBC о первых испытаниях — Украина и Ближний Восток
ZN UA
2025-09-06T02:42:09Z
Новая глава МИД Великобритании первый звонок сделала в Украину
Корреспондент
2025-09-06T02:33:57Z
В Словакии раскритиковали Фицо по умолчанию об агрессии РФ
TSN
2025-09-06T01:06:15Z
Трамп назвал место проведения следующего саммита G20
ZN UA
2025-09-05T23:57:59Z
Портников назвал условие, которое заставит РФ задуматься об окончании войны
TSN
2025-09-05T23:51:01Z
На Одессчине будут судить мужчину за угон автомобиля ТЦК
Корреспондент
2025-09-05T18:36:06Z
В Днепре горят склады, город окутан черным дымом
Комсомольская правда
2025-09-05T18:28:56Z
В Польше избили группу украинцев
Корреспондент
2025-09-05T18:28:55Z
«Інтерпайп» вийшов на ринок труб для виробництва бурового інструменту
AgroNews
2025-09-05T18:27:46Z
В Днепре бушует масштабный пожар
Корреспондент
2025-09-05T18:27:40Z
Виновник ДТП — наезда на четырех военных в Константиновке полтора года уклоняется от вызовов в суд
ZN UA
2025-09-05T18:27:39Z
Землетрясение в Афганистане: спасатели оставляли женщин под завалами
Корреспондент
2025-09-05T18:26:16Z
Масштабный пожар и эвакуация людей. Все детали о возгорании на заводе в Днепре
Telegraf
2025-09-05T18:24:51Z
В Польше избили группу украинцев
Корреспондент
2025-09-05T18:22:43Z
Как украинцы относятся к ТЦК - опрос
UAToday
2025-08-25T15:39:48Z
Нарушать запреты в этот день строго запрещено: какое «чудо» может приключиться
Comments UA
2025-09-06T03:57:19Z
В ГУР оценили возможности РФ по производству шахедов
Корреспондент
2025-09-06T03:54:10Z
Закарпатские таможенники Василий Пупена и Павел Лайош построили дворцы и купили фейковые инвалидности
Знай
2025-09-06T03:51:26Z
ГУР сообщило о беспрецедентном присутствии российских войск в Украине
TSN
2025-09-06T03:51:24Z
Шесть знаков китайского зодиака, которые привлекут везение уже 6 сентября
TSN
2025-09-06T03:51:14Z
С праздником Михайлово чудо 2025! Красивые поздравления в открытках и прозе для самых близких
Telegraf
2025-09-06T03:45:38Z
В школах готовят изменения в дистанционном обучении: к чему готовиться
Знай
2025-09-06T03:21:17Z
Украинцев с инвалидностью пугают штрафами за ВЛК: законно ли
Знай
2025-09-06T03:06:21Z
Кабмин упростил правила ввоза гуманитарных лекарств
UAToday
2025-09-06T02:48:01Z
В Китае разработали инъекции для возвращения цвета волос: эффективно ли новое средство от седины
TSN
2025-09-05T19:51:42Z
Сколько сахара в день можно употреблять без вреда для здоровья
Знай
2025-09-05T18:51:53Z
Минветеранов сообщило о масштабах инвалидности среди военных
Хвиля
2025-09-05T18:25:54Z
Доминирование руки: почему одна рука сильнее
GlavRed
2025-09-05T18:25:45Z
Перелом или растяжение: почему заживление связок дольше костей
GlavRed
2025-09-05T18:25:00Z
Витамины, которые категорически запрещено принимать перед сном
UAToday
2025-09-05T18:23:29Z
Витамины, которые категорически запрещено принимать перед сном
UAToday
2025-09-05T18:23:28Z
Витамины, которые категорически запрещено принимать перед сном
UAToday
2025-09-05T18:23:24Z
Volvo начала производство ES90
Корреспондент
2025-09-05T18:51:58Z
BMW представила электрический iX3
Корреспондент
2025-09-05T18:30:42Z
BMW представила электрический iX3
Корреспондент
2025-09-05T18:21:31Z
Культовая капсула времени: обнаружен 20-летний суперкар от Honda в новом состоянии
Фокус
2025-09-05T09:15:33Z
В Украине снизился спрос на новые грузовики
Gazeta UA
2025-09-05T06:48:42Z
Креатив высшего уровня. В Украине заметили автомобиль с пикантной подвеской
Telegraf
2025-09-04T22:33:59Z
Kia установила новый рекорд продажей
Корреспондент
2025-09-04T20:33:48Z
Toyota готовит компактный пикап: дебют в 2027 году
Корреспондент
2025-09-04T19:30:07Z
Представлен новый Honda Prelude
Корреспондент
2025-09-04T17:39:27Z
В Украине сосредоточено около 700 000 военного контингента России – разведка
Лига
2025-09-06T03:45:01Z
До 12 часов без света. В Днепре местами действуют графики отключения света
UAToday
2025-09-06T03:27:37Z
Андрей Кузник, начальник Львовской таможни, жалуется на низкую зарплату, но декларирует кучу недвижимости и элитный джип Lexus
Знай
2025-09-06T02:51:01Z
Ситуация на фронте на вечер 5 сентября 2025 года
UAToday
2025-09-06T02:48:18Z
Гороскоп на сегодня 6 сентября: финансы тельцов, неприятные новости раков и здоровье скорпионов
Знай
2025-09-06T01:33:45Z
РФ усилила удары БПЛА по трассе Славянск-Изюм - DeepState
Корреспондент
2025-09-06T01:27:01Z
Принимает ли Буданов лично участие в боевых операциях против россиян: ответ ГУР
ZN UA
2025-09-06T01:12:01Z
Девочка-квадробер в Одессе играла на пляже: соцсети разделились на два лагеря
Telegraf
2025-09-05T22:33:58Z
ГУР: на территории Украины находится около 700 тысяч российских военных
ZN UA
2025-09-05T21:12:30Z
Три причины, почему растворимый кофе нельзя заливать кипятком
Gazeta UA
2025-09-06T02:00:24Z
Какое ударение правильно: "листОпад чи листопАд"
Gazeta UA
2025-09-06T00:15:00Z
День ангела 6 сентября: кого и как поздравлять с именинами
TSN
2025-09-05T21:21:03Z
Салат "Мозаика" из баклажанов и фасоли: он спасет, когда совсем нет времени готовить
Telegraf
2025-09-05T18:36:31Z
Какие фразы под запретом, когда ребенок отказывается есть: ответ нутрициолога
Gazeta UA
2025-09-05T18:30:25Z
BEDNAR представив новинки та перевірені рішення на Дні поля АГРО Вінниця
AgroNews
2025-09-05T18:27:26Z
От новых не отличить: как полностью убрать желтые пятна на кроссовках
GlavRed
2025-09-05T18:25:29Z
Если кот обиделся. Четыре способа вернуть его благосклонность
Telegraf
2025-09-05T18:25:26Z
Эту ошибку допускают многие садоводы: почему нельзя обрезать фруктовые деревья в сентябре
Telegraf
2025-09-05T18:24:43Z
Какой XROS самый лучший в 2025 году?
Bin UA
2025-09-06T12:15:13Z
Эксперты бьют тревогу: самый большой вулкан Европы снова подает признаки жизни
TSN
2025-09-06T03:51:35Z
Неожиданный гость посетил австралийку по лакомству: кем он оказался
TSN
2025-09-06T03:51:32Z
Служба занятости интегрировала искусственный интеллект в поиск вакансий
Хвиля
2025-09-05T23:30:14Z
Официально: Life is Strange получит адаптацию в формате телесериала
GameMag
2025-09-05T21:24:09Z
Как установить оптоволоконный интернет в квартире: пошаговое руководство
GameWay
2025-09-05T21:00:17Z
Колхозники: в России высмеивают бывшую певицу из Украины
Comments UA
2025-09-05T20:57:35Z
Может погубить все человечество: ученые забили тревогу из-за опасной технологии
Знай
2025-09-05T20:51:52Z
Сказка о восточном балансе: Обзор The Rogue Prince of Persia
GameMag
2025-09-05T20:33:57Z
Французы ликуют, выиграв у сборной Украины со счетом 2:0
Корреспондент
2025-09-05T22:33:32Z
Два "горняка" и динамовец создали дебютное трио сборной в матче с Францией
Корреспондент
2025-09-05T22:03:23Z
Украина и Франция определили комплекты формы на матч отбора ЧМ-2026
Корреспондент
2025-09-05T20:54:40Z
Промоутер Итаумы: Бой у Мозеса будет в декабре на ринге в Манчестере
Корреспондент
2025-09-05T20:27:44Z
Полесье взяло в аренду полузащитника Динамо
Корреспондент
2025-09-05T19:36:06Z
В Англии восхитились первой тренировкой бразильца из "Шахтера"
ZN UA
2025-09-05T18:27:43Z
Украина-Франция: где и когда смотреть первый матч Украины в отборе на ЧМ-2026
GlavRed
2025-09-05T18:25:37Z
В России заговорили о футбольном матче с Украиной
Telegraf
2025-09-05T18:24:57Z
Тедди Атласу хочется видеть счастливый исход киноверсии Усика в боксе
Корреспондент
2025-09-05T18:21:59Z