أعلنت شركة مايكروسوفت أن جهة تهديد تُعرف باسم Storm-2603 تقف وراء هجمات تستهدف خوادم SharePoint المحلية غير المحدثة، بهدف نشر برمجية الفدية Warlock. جاء ذلك في تحديث نشرته الشركة يوم الأربعاء، مستندة إلى تحليلات موسعة ومعلومات استخباراتية جمعتها من مراقبتها المستمرة لنشاط الاستغلال.
تُعتبر Storm-2603 جهة تهديد يُعتقد أنها تنشط من الصين، ولها سجل في نشر برمجيات الفدية Warlock وLockBit سابقًا، ما يشير إلى دافع مالي واضح وراء نشاطها.
سلسلة الهجوم تبدأ بثغرتين خطيرتين في SharePoint
تشمل سلاسل الهجوم استغلال ثغرتين أمنيتين هما CVE-2025-49706 (ثغرة انتحال هوية) وCVE-2025-49704 (ثغرة تنفيذ أوامر عن بُعد)، وذلك لتثبيت حمولة خبيثة على هيئة ملف ويب شيل يحمل اسم spinstall0.aspx.
وذكرت مايكروسوفت أن Storm-2603 تستخدم هذا الوصول الأولي لتنفيذ أوامر عبر عملية w3wp.exe الخاصة بخدمة SharePoint، ثم تبدأ في تنفيذ أوامر استكشافية مثل whoami لتحديد امتيازات الحساب الذي تم اختراقه.
إجراءات تصعيد وتحكم كامل في الشبكة
يعتمد المهاجم على أدوات مثل cmd.exe وملفات الدفع (batch scripts) للتغلغل أعمق في بيئة الضحية، كما يتم إساءة استخدام services.exe لتعطيل حماية Microsoft Defender عبر تعديل سجل النظام (Registry).
وتسعى المجموعة للحفاظ على وجود دائم داخل النظام، من خلال إنشاء مهام مجدولة وتعديل مكونات خدمات الإنترنت (IIS) لتشغيل مكتبات .NET مشبوهة. وتسمح هذه الإجراءات باستمرار الهجوم حتى بعد معالجة الثغرات الأولية.
جمع بيانات الاعتماد والتنقل الجانبي
أحد أبرز جوانب الهجوم هو استخدام أداة Mimikatz لاستخلاص بيانات الاعتماد من ذاكرة خدمة LSASS، تليها مرحلة التنقل الجانبي داخل الشبكة باستخدام أدوات PsExec وImpacket toolkit.
وبعد السيطرة الكاملة، تقوم المجموعة بتعديل كائنات سياسة المجموعة (GPO) لتوزيع برمجية الفدية Warlock داخل البيئة المصابة، بحسب مايكروسوفت.
توصيات مايكروسوفت للحماية والتخفيف من الأضرار
نصحت مايكروسوفت المستخدمين باتباع الخطوات التالية:
-
الترقية إلى إصدارات مدعومة من SharePoint Server
-
تطبيق آخر التحديثات الأمنية
-
تفعيل واجهة فحص البرمجيات الضارة (AMSI) وضبطها بشكل صحيح
-
استخدام Microsoft Defender for Endpoint أو حلول مكافئة
-
تدوير مفاتيح ASP.NET الخاصة بـ SharePoint
-
إعادة تشغيل IIS على جميع الخوادم باستخدام iisreset.exe بعد تثبيت التحديثات
-
تنفيذ خطة استجابة للحوادث
هجمات واسعة النطاق وتورط جهات تهديد صينية
تأتي هذه التطورات في ظل حملة استغلال واسعة النطاق لثغرات SharePoint، حيث سُجلت أكثر من 400 ضحية. وتشير التقارير إلى تورط مجموعات صينية أخرى مثل Linen Typhoon (المعروفة أيضًا باسم APT27) وViolet Typhoon (APT31)، رغم نفي الحكومة الصينية لهذه المزاعم.
وقال المتحدث باسم وزارة الخارجية الصينية قوه جياكون: “الأمن السيبراني تحدٍ مشترك يواجه جميع الدول ويجب التعامل معه عبر الحوار والتعاون. الصين تعارض وتكافح الأنشطة التخريبية وفقًا للقانون، كما ترفض الاتهامات الموجهة إليها بذريعة الأمن السيبراني”.
أدوات خبيثة تنتشر عالميًا وتستهدف جهات حساسة
أفادت شركة ESET أنها رصدت أنشطة استغلال ToolShell على مستوى العالم، حيث تصدرت الولايات المتحدة قائمة الدول المستهدفة بنسبة 13.3%، تليها المملكة المتحدة، إيطاليا، البرتغال، فرنسا، وألمانيا. وشملت الضحايا منظمات حكومية ذات قيمة عالية، استُهدفت بشكل متكرر من قبل هذه المجموعات.
وبحسب Check Point Research، فقد تم رصد أكثر من 4600 محاولة اختراق استهدفت أكثر من 300 منظمة حول العالم في مجالات تشمل الحكومات، البرمجيات، الاتصالات، الخدمات المالية، والخدمات الاستهلاكية.
استخدام أدوات خفية وحملات موازية لاختراق الأنظمة
أظهرت تحليلات شركة WithSecure أن الهجمات تضمنت استخدام شل خبيث يُعرف باسم Godzilla، مما يربط هذه الحملة بحملة سابقة في ديسمبر 2024 استخدمت مفاتيح ASP.NET مكشوفة علنًا.
تهدف الحملة الحالية إلى سرقة مفاتيح ASP.NET للحفاظ على الوصول إلى خوادم SharePoint حتى بعد تحديث النظام. ومن الأدوات التي نُشرت ضمن الهجوم:
-
Information: لجمع معلومات النظام والعمليات النشطة
-
RemoteExec: لتنفيذ أوامر واستعادة نتائجها
-
AsmLoader: لتشغيل شيفرة داخلية داخل العملية أو في عملية عن بُعد
-
أداة مخصصة لسرقة مفاتيح MachineKey مشابهة لـ spinstall0.aspx
-
BadPotato: لرفع الامتيازات والصلاحيات
أداة GhostWebShell وخطورة السيطرة الخفية على الأنظمة
تابعت Fortinet حملات ToolShell وذكرت أنها تضمنت نشر ويب شيل يُدعى GhostWebShell، يتيح تنفيذ أوامر عشوائية عبر cmd.exe مع الحفاظ على الوصول الدائم. وأوضحت الباحثة الأمنية كارا لين أن هذه الأداة خفيفة وساكنة في الذاكرة، وتُسيء استخدام مكونات SharePoint وASP.NET للحصول على وصول مستمر والتفادي من الكشف الأمني.
وأشارت Fortinet أيضًا إلى استخدام أداة KeySiphon التي تلتقط مفاتيح التحقق والتشفير الخاصة بالتطبيق، بالإضافة إلى أوضاع التشفير المستخدمة، ومعلومات النظام، مما يسمح للمهاجمين بتزوير رموز المصادقة والتلاعب بالبيانات المحمية داخل بيئة التطبيق.
