أعلنت مايكروسوفت رسميًا أن الثغرات الأمنية في خوادم SharePoint المتصلة بالإنترنت قد استُغلت من قبل مجموعتي قرصنة صينيتين تُعرفان باسم Linen Typhoon وViolet Typhoon، وذلك اعتبارًا من 7 يوليو 2025. كما أكدت الشركة رصد مجموعة صينية ثالثة تُدعى Storm-2603 استخدمت نفس الثغرات للوصول الأولي إلى شبكات المؤسسات المستهدفة.
وقالت مايكروسوفت في تقرير حديث: “نظرًا للتبني السريع لهذه الثغرات، نُقدّر بثقة عالية أن الجهات الفاعلة ستحافظ على استخدامها ضمن هجماتها ضد الأنظمة غير المحدثة من SharePoint”.
تفاصيل مجموعات التهديد النشطة
فيما يلي لمحة عن مجموعات التهديد الثلاث التي حدّدتها مايكروسوفت:
-
Linen Typhoon (المعروفة أيضًا بأسماء APT27، Bronze Union، Emissary Panda، وغيرها): تنشط منذ عام 2012، وتم ربطها سابقًا ببرمجيات خبيثة مثل SysUpdate وHyperBro وPlugX.
-
Violet Typhoon (المعروفة أيضًا بـ APT31، Bronze Vinewood، Red Keres، وغيرها): بدأت نشاطها منذ 2015، واستهدفت الولايات المتحدة وفنلندا والتشيك.
-
Storm-2603: جهة تهديد صينية مشتبه بها استخدمت سابقًا برمجيات الفدية Warlock وLockBit.
تفاصيل الثغرات المستخدمة في الهجمات
الثغرات التي استُغلت تستهدف خوادم SharePoint المحلية وتستند إلى تجاوزات لإصلاحات سابقة تخص الثغرات CVE-2025-49706 (تزوير الهوية) وCVE-2025-49704 (تنفيذ أوامر عن بُعد). وقد تم تعيين ثغرتين جديدتين لهذا التجاوز هما CVE-2025-53771 وCVE-2025-53770.
في الهجمات الموثقة، استخدم المهاجمون طلب POST موجه إلى نقطة النهاية ToolPane لتنفيذ هجمات تجاوز المصادقة وتنفيذ التعليمات البرمجية عن بُعد.
نشر Web Shell لجمع البيانات الحساسة
أكدت مايكروسوفت وشركات أمنية أخرى أن سلاسل العدوى أدت إلى نشر web shell يُعرف باسم “spinstall0.aspx” (ويُعرف أيضًا بأسماء spinstall.aspx أو spinstall1.aspx أو spinstall2.aspx). ويُستخدم هذا shell من قبل المهاجمين لجمع بيانات MachineKey وسرقتها.
وأشار الباحث الأمني راكيش كريشنان إلى أن تحليلًا جنائيًا للهجوم كشف عن ثلاث عمليات تشغيل منفصلة لمتصفح Microsoft Edge، وهي Network Utility Process، وCrashpad Handler، وGPU Process، ما يدل على محاولة المهاجمين تقليد سلوك طبيعي وتفادي أنظمة الحماية.
وأضاف كريشنان أن web shell اعتمد على بروتوكول تحديث عملاء Google (CUP) لتمويه حركة المرور الخبيثة داخل طلبات تحديث تبدو شرعية.
توصيات الحماية والتصدي
لخفض مستوى التهديد، تنصح مايكروسوفت بتنفيذ التدابير التالية:
-
تحديث خوادم SharePoint Server بجميع إصداراتها إلى آخر إصدار متاح.
-
تدوير مفاتيح ASP.NET MachineKey.
-
إعادة تشغيل خدمات IIS.
-
تفعيل Microsoft Defender for Endpoint أو حلول مكافئة.
كما أوصت بتكامل وتفعيل واجهة Antimalware Scan Interface (AMSI) وتكوينها على وضع Full Mode، وتثبيت Microsoft Defender Antivirus أو بدائل قوية لجميع بيئات SharePoint المحلية.
وحذرت مايكروسوفت من أن المزيد من الجهات الخبيثة قد تستغل هذه الثغرات ضد الأنظمة غير المُحدثة، مما يعزز الحاجة الماسة إلى تنفيذ التحديثات والتدابير الأمنية فورًا.
ويُذكر أن هذه ليست المرة الأولى التي تُتهم فيها الصين باستهداف مايكروسوفت، فقد سبق ربط مجموعة Silk Typhoon (المعروفة باسم Hafnium) بحملة استغلال جماعية في مارس 2021 ضد خوادم Exchange، باستخدام ثغرات صفرية.
وفي وقت سابق من يوليو الجاري، تم القبض على مواطن صيني يُدعى “شو زيوي” في إيطاليا واتهامه بشن هجمات إلكترونية على مؤسسات وهيئات أمريكية باستخدام ثغرات Microsoft Exchange المعروفة باسم ProxyLogon.
