- 19,546
- 42
- 8 Ноя 2022
148 компаний думали, что патчи работают.
Масштабная кампания по эксплуатации цепочки уязвимостей Microsoft SharePoint продолжает набирать обороты, теперь с участием группировок-вымогателей. В ходе анализа серии атак специалисты Palo Alto Networks (подразделение Unit 42) Для просмотра ссылки Войдиили Зарегистрируйся внедрение шифровальщика 4L4MD4R — варианта, созданного на основе открытого исходного кода Для просмотра ссылки Войди или Зарегистрируйся . Его активность напрямую связана с эксплойт-цепочкой под условным названием ToolShell.
Первая фиксация заражения произошла 27 июля, когда был выявлен загрузчик вредоносного ПО, получающий и запускающий 4L4MD4R с сервера theinnovationfactory[.]it по IP-адресу 145.239.97[.]206. Поводом для обнаружения стала неудачная попытка эксплуатации, в ходе которой задействовались PowerShell-команды, направленные на отключение систем мониторинга безопасности. Это позволило специалистам вскрыть архитектуру атаки.
Сам шифровальщик представляет собой упакованный UPX-файл, написанный на языке Go. При запуске он расшифровывает зашифрованный с помощью AES исполняемый файл в памяти, выделяет под него область, загружает туда содержимое и запускает исполнение в отдельном потоке. После этого начинается шифрование данных на заражённой системе, результатом чего становятся файлы с изменённым расширением, список зашифрованного содержимого и текст с требованием выкупа. Сумма выкупа сравнительно невелика — 0.005 биткойна.
Сама эксплойт-цепочка Для просмотра ссылки Войдиили Зарегистрируйся , использующая уязвимости Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся , стала объектом интереса сразу нескольких групп, связанных с государственными структурами КНР. По данным Microsoft, атаки ведут как минимум три китайские группировки: Linen Typhoon, Violet Typhoon и Для просмотра ссылки Войди или Зарегистрируйся . Ранее атаки фиксировались по всему миру: в Северной Америке, Европе, на Ближнем Востоке. Среди пострадавших — Министерство образования США, Национальное управление ядерной безопасности, налоговая служба штата Флорида, законодательное собрание Род-Айленда и правительственные системы нескольких европейских стран.
Изначально признаки атак с использованием ToolShell выявила нидерландская компания Eye Security, Для просмотра ссылки Войдиили Зарегистрируйся заражение 54 организаций. Однако последующий анализ показал, что это лишь часть картины. По словам технического директора Eye Security Пита Керхофса, заражено не менее 400 серверов, а число скомпрометированных организаций достигло 148 — и всё это с длительным присутствием злоумышленников в инфраструктуре.
Исследователи из Check Point Для просмотра ссылки Войдиили Зарегистрируйся , что активность началась как минимум 7 июля. Целями стали государственные структуры, телекоммуникационные компании и технологические организации по всей Западной Европе и Северной Америке. Несмотря на то, что Microsoft закрыла уязвимости в июльском пакете обновлений (Patch Tuesday), атаки продолжились. Компания присвоила новым уязвимостям идентификаторы Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся — это дыры, использовавшиеся для взлома даже полностью обновлённых серверов SharePoint.
Более того, агентство CISA Для просмотра ссылки Войдиили Зарегистрируйся CVE-2025-53770 в каталог активно эксплуатируемых уязвимостей и обязало все федеральные учреждения устранить угрозу в течение суток после уведомления.
В совокупности атака демонстрирует стратегическую скоординированность: за ней стоит сразу несколько групп, использование многоступенчатых эксплойтов, целенаправленное отключение защиты и интеграция шифровальщика. Это указывает на усиление гибридных угроз — когда за сетью заражений стоят не только киберпреступники, но и государственные интересы.
Масштабная кампания по эксплуатации цепочки уязвимостей Microsoft SharePoint продолжает набирать обороты, теперь с участием группировок-вымогателей. В ходе анализа серии атак специалисты Palo Alto Networks (подразделение Unit 42) Для просмотра ссылки Войди
Первая фиксация заражения произошла 27 июля, когда был выявлен загрузчик вредоносного ПО, получающий и запускающий 4L4MD4R с сервера theinnovationfactory[.]it по IP-адресу 145.239.97[.]206. Поводом для обнаружения стала неудачная попытка эксплуатации, в ходе которой задействовались PowerShell-команды, направленные на отключение систем мониторинга безопасности. Это позволило специалистам вскрыть архитектуру атаки.
Сам шифровальщик представляет собой упакованный UPX-файл, написанный на языке Go. При запуске он расшифровывает зашифрованный с помощью AES исполняемый файл в памяти, выделяет под него область, загружает туда содержимое и запускает исполнение в отдельном потоке. После этого начинается шифрование данных на заражённой системе, результатом чего становятся файлы с изменённым расширением, список зашифрованного содержимого и текст с требованием выкупа. Сумма выкупа сравнительно невелика — 0.005 биткойна.
Сама эксплойт-цепочка Для просмотра ссылки Войди
Изначально признаки атак с использованием ToolShell выявила нидерландская компания Eye Security, Для просмотра ссылки Войди
Исследователи из Check Point Для просмотра ссылки Войди
Более того, агентство CISA Для просмотра ссылки Войди
В совокупности атака демонстрирует стратегическую скоординированность: за ней стоит сразу несколько групп, использование многоступенчатых эксплойтов, целенаправленное отключение защиты и интеграция шифровальщика. Это указывает на усиление гибридных угроз — когда за сетью заражений стоят не только киберпреступники, но и государственные интересы.
- Источник новости
- www.securitylab.ru
