Microsoft ha revelado que uno de los actores de amenazas detrás de la explotación agresiva de los defectos de SharePoint es implementar ransomware brujo en los sistemas objetivo.
El gigante tecnológico dijo en una actualización compartida el miércoles que los hallazgos se basan en «análisis y una mayor inteligencia de amenazas de la vigilancia continua de las actividades de explotación de Storm-2603».
Se sospecha que los actores de amenaza debido a actividades de motivación financiera son un actor de amenaza con sede en China que se sabe que arrojó brujos y roce ransomware en el pasado.
La cadena de ataque implica la explotación de CVE-2025-49706, una vulnerabilidad de falsificación y CVE-2025-49704, una vulnerabilidad de ejecución de código remoto, dirigido a un servidor de SharePoint acumulado para implementar una carga útil de shell Web SpinStall 0.Apspx.
«Este acceso inicial se utiliza para ejecutar la ejecución de comandos utilizando el proceso w3wp.exe que admite SharePoint», dijo Microsoft. «Storm-2603 comienza un conjunto de comandos de descubrimiento, incluido Whoami, para enumerar el contexto del usuario y verificar el nivel de privilegio».
Los ataques se caracterizan por el uso de scripts de cmd.exe y lotes cuando los actores de amenaza profundizan en la red de destino, pero Services.exe está abusado de cambiar el registro de Windows para desactivar la protección del defensor de Microsoft.
Además del apalancamiento para continuar Spinstall0.aspx, se ha observado que Storm-2603 crea tareas programadas y los componentes de modifys Information Services (IIS) para lanzar lo que Microsoft describió como un ensamblaje de .NET sospechoso. Estas acciones están diseñadas para garantizar un acceso continuo, incluso cuando las víctimas toman medidas para conectar el vector de acceso inicial.
Otros aspectos notables del ataque incluyen el despliegue de Mimikats para apuntar a la memoria del subsistema de la estación de seguridad local (LSASS) para recolectar credenciales, seguido de movimientos laterales utilizando PSEXEC y Toolket de herramientas de Impacket.
«Estamos observando tormenta-2603 modificando objetos de política de grupo (GPO) para distribuir ransomware de brujo en entornos comprometidos», dijo Microsoft.
Como mitigación, se aconseja a los usuarios que sigan los pasos a continuación –
Actualización de una versión compatible de la versión loca Actualización a una versión compatible de Microsoft SharePoint Server Aplique las últimas actualizaciones de seguridad Aplique las últimas actualizaciones de seguridad aplicando las últimas actualizaciones de seguridad para garantizar que la interfaz de escaneo anti-malware esté activada y que implementa correctamente Microsoft Defenderdenderdderd en el punto final. Implementar un plan de respuesta a incidentes (después de instalar nuevas actualizaciones de seguridad)
El desarrollo ya ha reclamado al menos 400 víctimas, ya que los defectos del servidor de SharePoint están bajo explotación masiva. El lino Timpon (también conocido como APT27) y Violet Typhoon (también conocido como APT31) son otros dos grupos de piratería chinos vinculados a actividades maliciosas. China ha negado las acusaciones.
«La ciberseguridad es un desafío común que enfrenta todos los países y debe abordarse conjuntamente a través del diálogo y la cooperación», dijo Guo Jiakun, portavoz del Ministerio de Asuntos Exteriores de China. «China se opondrá y luchará contra las actividades de piratería de acuerdo con la ley, y al mismo tiempo se opone a las manchas y ataques contra China bajo las excusas de los problemas de ciberseguridad».
Source link
