MY.UAНовини
Увесь світ говорить про хакерську атаку через SharePoint: хто за цим стоїть і хто постраждав
Увесь світ говорить про хакерську атаку через SharePoint: хто за цим стоїть і хто постраждав

Увесь світ говорить про хакерську атаку через SharePoint: хто за цим стоїть і хто постраждав

Що відомо про атаки через SharePoint і хто за ними стоїть?

Хакерська кампанія розпочалась 7 липня 2025 року, коли зловмисники почали активно експлуатувати критичну вразливість у локальних серверах Microsoft SharePoint. Дослідники безпеки з нідерландської компанії Eye Security, які першими виявили масове використання вразливості ввечері 18 липня, спочатку зафіксували десятки скомпрометованих організацій, але потім повідомили, що кількість жертв зросла до 400, пише 24 Канал.

Усе почалося з того, що Eye Security побачила підозрілу активність на SharePoint-сервері одного з клієнтів. Сканування понад 8000 серверів SharePoint по всьому світу показало десятки активно скомпрометованих систем.

Що таке SharePoint?

Microsoft SharePoint – це багатофункціональна веб-платформа, призначена для спільної роботи, управління документами та контентом в організаціях. Вона дозволяє централізувати доступ до корпоративної інформації та додатків, створюючи внутрішні корпоративні сайти, які слугують безпечним місцем для зберігання, організації, спільного використання та доступу до даних з будь-якого пристрою за допомогою браузера. Скільки користувачів має цей сервіс сьогодні, невідомого, але станом на грудень 2020 року, платформою користувалося понад 200 мільйонів людей.

Основні сценарії використання:

  • Управління корпоративним контентом та документами.
  • Створення інтранет-порталів та соціальних мереж.
  • Спільна робота в групах.
  • Персональне хмарне сховище.
  • Розробка користувацьких веб-додатків.
  • Автоматизація робочих процесів.
  • Пошук та аналітика.
  • Безпека та адміністрування.

Технічні деталі атаки

Вразливість отримала назву "ToolShell" від дослідника Дінь Хо Ань Хоа з Viettel Cyber Security, який першим виявив її на хакерському змаганні Pwn2Own у Берліні в травні 2025 року. За свою знахідку він отримав винагороду у розмірі 100 тисяч доларів. Атака використовує ланцюжок з двох критичних вразливостей: CVE-2025-53770 (оцінка CVSS 9.8) та CVE-2025-53771 (оцінка CVSS 6.3). Перша дозволяє віддалене виконання коду, а друга – обхід автентифікації через підробку заголовків HTTP.

Зловмисники надсилають спеціально сформований POST-запит до кінцевої точки /_layouts/15/ToolPane.aspx з підробленим заголовком Referer: /_layouts/SignOut.aspx, що дозволяє обійти перевірку автентифікації. Після успішної експлуатації вони завантажують веб-оболонку з назвою spinstall0.aspx, яка витягує криптографічні ключі SharePoint.

Хто за цим стоїть?

Microsoft офіційно підтверджує, що за експлуатацією вразливості, яку вона не виправляла два місяці, стоять три китайські хакерські групи. Компанія виявила участь двох відомих державних акторів: Linen Typhoon та Violet Typhoon, а також третьої групи Storm-2603.

  • Linen Typhoon (також відома як APT27, Emissary Panda, Bronze Union) діє з 2012 року і спеціалізується на крадіжці інтелектуальної власності. Група переважно націлюється на організації, пов'язані з урядом, оборонною сферою, стратегічним плануванням та правами людини.
  • Violet Typhoon (APT31, Bronze Vinewood, Judgment Panda) активна з 2015 року і займається шпигунством. Вона в основному атакує колишніх урядовців та військових, неурядові організації, аналітичні центри, вищі навчальні заклади, медіа, фінансові та медичні установи в США, Європі та Східній Азії.
  • Storm-2603 – менш відома група, щодо китайського походження якої Microsoft має "середню впевненість". Раніше вона використовувала програми-вимагачі Warlock та Lockbit. Її поточні цілі наразі лишаються незрозумілими.

Хто постраждав?

Серед найбільш резонансних жертв – Національне управління ядерної безпеки США (NNSA), напівавтономне агентство в складі Міністерства енергетики, яке відповідає за проєктування, обслуговування та транспортування американського ядерного арсеналу.

Речник Міністерства енергетики підтвердив, що експлуатація вразливості SharePoint почалася 18 липня й торкнулася всього департаменту, включаючи NNSA.

Департамент зазнав мінімального впливу завдяки широкому використанню хмарної платформи Microsoft M365 та дуже ефективних систем кібербезпеки,
– заявив прес-секретар Міністерства енергетики Бен Дітдеріх в інтерв'ю BleepingComputer.

Окрім NNSA, постраждали також Міністерство освіти США, Департамент доходів Флориди, Генеральна асамблея Род-Айленда, а також урядові агентства в Європі та на Близькому Сході.

Як зреагувала Microsoft?

Microsoft випустила екстрені оновлення безпеки 19 липня для SharePoint Subscription Edition та SharePoint Server 2019, а 21 липня – для SharePoint Server 2016. Компанія також рекомендує організаціям провести ротацію ключів машини SharePoint Server ASP.NET та увімкнути інтерфейс сканування антивірусних програм (AMSI).

Агентство кібербезпеки США (CISA) додало CVE-2025-53770 до свого каталогу відомих експлуатованих вразливостей з терміновим дедлайном для усунення.

Експерти також попереджають, що організації з локальними серверами SharePoint, підключеними до інтернету, повинні вважати свої системи скомпрометованими.

Що каже Китай?

Китайський уряд заперечує будь-яку причетність до атак. Посольство Китаю у Вашингтоні заявило, що "Китай рішуче виступає проти всіх форм кібератак та кіберзлочинів" і закликало "приймати професійне та відповідальне ставлення при характеристиці кіберінцидентів".

Що далі?

За оцінками дослідників з Censys, понад 10 тисяч організацій у світі можуть бути під загрозою через цю вразливість. Найбільша кількість потенційно вразливих серверів знаходиться в США, за ними йдуть Нідерланди, Велика Британія та Канада.

Експерти з Palo Alto Networks назвали цю вразливість "мрією для операторів вимагачів", оскільки вона дозволяє зловмисникам отримати повний контроль над серверами та переміщатися корпоративними мережами. Дослідники попереджають, що кампанія, ймовірно, триватиме, оскільки інші хакерські групи також намагатимуться використати цю вразливість. Саме тому кожна організація, що використовує SharePoint, повинна якнайшвидше провести оновлення системи.

Поділитися
Поділитися сюжетом
Джерело матеріала
Трейлер фильма «Дом из динамита»
Кино-Театр
2025-09-28T06:06:23Z
«Червона Рута» и тысячи голосов: культурное сопротивление, объединяющее страну
ZN UA
2025-09-28T05:33:45Z
Анджелина Джоли бьет тревогу из-за политики: "Я люблю свою страну, но сейчас я..."
Знай
2025-09-28T04:51:03Z
Джерард Батлер выживает вместе с семьей в трейлере фильма "Гренландия: Миграция"
GameMag
2025-09-27T21:39:02Z
Эта прическа возвращается с новой силой: назван тренд этой осени
TSN
2025-09-27T18:21:36Z
Жена Остапчука в честь дня рождения любимого засветилась в стильном семейном фотосете
TSN
2025-09-27T15:18:21Z
"7 чудес Украины" без бюджетных денег: Николай Томенко рассказал об успешном проекте и "краже" идей
Знай
2025-09-27T13:27:11Z
Леся Никитюк рассекретила расходы на сына и покупает ли ему дорогие вещи
TSN
2025-09-27T11:18:21Z
Жена Усика показала, как роскошно отпраздновала годовщину брака вместе с возлюбленным
TSN
2025-09-27T10:06:32Z
Стало известно, когда включат отопление в Украине
Корреспондент
2025-09-28T20:00:31Z
Мобильные операторы готовят изменения: кого коснется подорожание уже с октября
UAToday
2025-09-28T18:42:55Z
Земля в Украине за два года выросла в цене в семь раз: какие причины
ZN UA
2025-09-28T06:36:21Z
Штрафы в "Резерв+": что изменилось для уклонистов
Знай
2025-09-28T05:36:17Z
Новые правила аренды: кто заплатит всего 30% от суммы
Знай
2025-09-28T05:06:58Z
Откажут в назначении пенсии: кто в зоне риска
Знай
2025-09-28T04:36:18Z
Жилищная субсидия: могут ли назначить, если есть долги
ZN UA
2025-09-28T02:24:20Z
Зеленский призвал Европу полностью прекратить импорт российской нефти и газа
Хвиля
2025-09-27T21:30:21Z
В Украине запустили венчурный фонд для технологических стартапов
Корреспондент
2025-09-27T20:54:25Z
Трамп захотел присоединиться к срочному сбору генералов
Корреспондент
2025-09-29T01:45:20Z
Киев пригрозил западным СМИ за незаконное пересечение границы
Корреспондент
2025-09-28T23:15:43Z
Выборы в Молдове: подсчет голосов на финишной прямой
Корреспондент
2025-09-28T22:42:17Z
Готовили беспорядки: в Молдове задержали лиц с пиротехникой
Корреспондент
2025-09-28T22:12:44Z
В Молдове закрылись избирательные участки
Корреспондент
2025-09-28T22:12:21Z
Орбан: ЕС стал военным проектом для противодействия РФ, венгры против этого
Корреспондент
2025-09-28T21:45:24Z
Tomahawk для Украины: США обсуждают передачу, но решение за Трампом, - Вэнс
UAToday
2025-09-28T20:54:02Z
В Молдове обработано 50% голосов: кто лидирует
Корреспондент
2025-09-28T20:18:02Z
РФ отказалась от переговоров по Украине - Вэнс
UAToday
2025-09-28T18:42:42Z
Ракетная опасность: поражен завод на Брянщине - СМИ
Корреспондент
2025-09-29T00:18:30Z
Прилеты по Институту кардиологии, АЗС и еще 20 локациям: что известно об обстреле Киева
UAToday
2025-09-28T09:30:26Z
Атака на Киев: среди жертв - 12-летняя девочка
Новости Украины
2025-09-28T07:51:12Z
Обстрел Киева: количество пострадавших и погибших возросло
Comments UA
2025-09-28T06:42:53Z
Атака на Киев: число жертв возросло до четырёх
Корреспондент
2025-09-28T06:42:16Z
Одесчина в огне: появились фото после вражеской атаки
TSN
2025-09-28T06:36:48Z
В Киеве трое погибших в результате атаки РФ - КГГА
Корреспондент
2025-09-28T06:09:46Z
Взрывы в Киеве: трое погибших
TSN
2025-09-28T06:03:19Z
Пакистанец продавал в Россию собственную мочу под видом "целительной верблюжьей"
Comments UA
2025-09-28T05:57:10Z
Датские истребители экстренно поднимались над Балтийским морем
Корреспондент
2025-09-29T02:18:16Z
РФ запускает дроны нового типа с тепловизионной камерой - эксперт
Корреспондент
2025-09-29T00:51:01Z
Причастны к преступлениям в Буче: идентифицировано 13 российских командиров
Корреспондент
2025-09-28T21:54:01Z
Незаконная заготовка дров: какие штрафы и риски ждут украинцев
UAToday
2025-09-28T18:42:35Z
Просили доплатить еще 20% от стоимости: в Одессе "Цитрус" отказался отдать оплаченный iPhone 17 Pro
VGorode
2025-09-28T16:12:51Z
Российская комбинированная атака на Киев и Запорожье: главные новости ночи 28 сентября 2025 года
TSN
2025-09-28T06:42:10Z
Украинец показал, какие ложки и вилки времен СССР можно продать за 1000 грн
Фокус
2025-09-28T06:30:13Z
Еще в двух странах НАТО заметили неизвестные дроны: что известно
UAToday
2025-09-28T06:21:39Z
Нельзя спорить и хвастаться: обычаи в народный праздник 28 сентября
UAToday
2025-09-28T06:21:37Z
Как обрезки ногтей превращают в лекарства
UAToday
2025-09-28T14:06:51Z
Мужчина 60 дней ел только мясо: что с ним произошло
UAToday
2025-09-28T12:03:51Z
Институт кардиологии в Киеве продолжает работу после атаки РФ - Минздрав
Корреспондент
2025-09-28T11:15:19Z
Продукты, которые "убивают" оргазм
UAToday
2025-09-28T09:03:05Z
Как подготовиться к сезону гриппа: простые привычки, которые помогут забыть о болезнях
Знай
2025-09-28T05:51:02Z
“Звуковые ванны”: как саунтерапия влияет на мозг и в чем секрет ее удивительного эффекта
TSN
2025-09-27T19:51:58Z
В Индии врачи извлекли из желудка пациента 29 ложек, 19 зубных щеток и две ручки
Новости Украины
2025-09-27T18:24:27Z
Улучшит кожу и повысит иммунитет: названы 7 преимуществ тыквы для организма
UAToday
2025-09-27T17:54:22Z
Не только шампуни и маски: продукты, которые влияют на состояние волос
Знай
2025-09-27T15:21:25Z
В Украине переписали правила продажи автомобилей: какие изменения ввели в правительстве
UAToday
2025-09-28T18:42:09Z
Спрятал аптечку в багажник – готовьтесь к штрафу: украинцев с авто предупреждают
Знай
2025-09-27T19:21:11Z
В Украине ограничили возраст водителей: кому нельзя садиться за руль
Хвиля
2025-09-27T18:30:13Z
Большинству водителей придется переучиться: эксперты назвали привычки, которые убивают трансмиссию
UAToday
2025-09-27T17:54:52Z
Спорткар ЗАЗ и роскошные Mercedes: какие ретро-авто показали на фестивале Old Car Land
Фокус
2025-09-27T14:57:29Z
Audi тестирует новый RS6 с ДВС
Корреспондент
2025-09-26T19:30:03Z
Volkswagen начнет экспортировать свои китайские модели за границу
Корреспондент
2025-09-26T17:57:03Z
Toyota будет продавать обновления для старых GR Corolla
Корреспондент
2025-09-26T17:33:17Z
В Киеве засветился недорогой конкурент BMW 3 Series и Mercedes C-Class от Hyundai
Фокус
2025-09-26T16:27:47Z
ISW: У РФ проблемы с логистикой и личным составом
Корреспондент
2025-09-29T03:27:20Z
ВСУ восстановили позиции в двух областях - ISW
Корреспондент
2025-09-29T02:18:05Z
Купянск контролируют ВСУ - Генштаб
Корреспондент
2025-09-28T21:18:33Z
Ситуация на фронте на вечер 28 сентября 2025 года
UAToday
2025-09-28T18:42:57Z
Генштаб ВСУ опроверг заявления РФ о продвижении в Ямполе на Сумщине
Корреспондент
2025-09-28T18:24:56Z
На Черкащине из-за российских ракет повреждено почти 6 гектаров леса
Корреспондент
2025-09-28T16:06:26Z
Гороскоп на 29 сентября 2025 года по картам Таро для всех знаков зодиака
UAToday
2025-09-28T15:27:49Z
Гороскоп на понедельник 29 сентября 2025 года
UAToday
2025-09-28T15:00:04Z
Въезд в Купянск закрыт: люди эвакуируются пешком
Корреспондент
2025-09-28T14:45:32Z
В Китае открыли рекордный мост
Корреспондент
2025-09-29T03:15:15Z
Вьетнамец 34 года не стриг ногти и установил мировой рекорд: что из этого вышло
Фокус
2025-09-28T06:00:12Z
От беруш до мультиварки: первокурсникам назвали вещи первой необходимости для начала студенческой жизни
Знай
2025-09-28T05:21:44Z
Задача для сверхвнимательных: найдите только одну полностью разряженную батарею среди других
Фокус
2025-09-28T05:00:59Z
Шесть китайских знаков зодиака, которые 28 сентября придут удачу и любовь
TSN
2025-09-28T03:21:21Z
Жертва домашнего насилия рискует сама стать обидчиком: почему такие люди становятся абъюзерами
Знай
2025-09-28T02:51:58Z
День ангела 28 сентября: кого и как поздравлять с именинами
TSN
2025-09-27T21:21:44Z
Бархатный сезон в Карпатах: цены на отдых падают, а спрос растет
Знай
2025-09-27T20:12:59Z
Сделайте это с пионами осенью — и следующим летом они зацветут еще пышнее
TSN
2025-09-27T17:21:52Z
Китайцы бросили вызов GTA VI: NetEase Games показала амбициозную игру в открытом мире Ananta
GameMag
2025-09-28T06:30:01Z
Украинец продает дом в селе Чмыровка: почему с него смеется весь интернет
Фокус
2025-09-28T05:00:33Z
Магнитная буря 28 сентября: какой будет ее мощность
TSN
2025-09-28T04:06:56Z
lifecell готовит изменения для клиентов: часть услуг отменят, остальные взлетят в цене
Знай
2025-09-28T04:06:12Z
Брэндон Хит возвращается в полном перестрелок трейлере Gungrave G.O.R.E: Blood Heat
GameMag
2025-09-27T21:39:41Z
Датамайнеры обнаружили в PlayStation Store упоминание русской озвучки Ghost of Yōtei для PlayStation 5
GameMag
2025-09-27T21:33:53Z
"Канарейки моря": киты научились имитировать человеческий язык
TSN
2025-09-27T21:21:38Z
Helldivers 2 хотят сделать "вечной" игрой — Helldivers 3 не планируется
GameMag
2025-09-27T21:21:27Z
Куда деваются отходы с самолета: эксперт развенчал популярный миф
TSN
2025-09-27T20:33:04Z
Они ударили рядом: украинская фигуристка о прилетах ракет врага
Корреспондент
2025-09-28T22:51:38Z
Милан выходит в лидеры чемпионата благодаря победе над Наполи
Корреспондент
2025-09-28T22:15:10Z
Женский футбол Англии признал достижение защитницы Ливерпуля
Корреспондент
2025-09-28T21:06:31Z
У Барселоны повторение рекорда клуба с беспроигрышными играми с голами
Корреспондент
2025-09-28T20:33:18Z
Вернувшийся Ямаль помог в победе Барселоны ассистом в матче с Реал Сосьедад
Корреспондент
2025-09-28T20:12:58Z
Друг Довбика поздравил его с дебютным голом сезона
Корреспондент
2025-09-28T19:42:00Z
Ньюкасл упускает ничью в матче с Арсеналом, который действует по накатанной
Корреспондент
2025-09-28T19:00:32Z
Довбик отличился первым голом в сезоне и рассчитывает на дальнейшую удачу
Корреспондент
2025-09-28T18:18:59Z
За Рубена Аморима заступился его игрок, указав на место злопыхателям
Корреспондент
2025-09-28T17:24:57Z