الصفحات
بحث
هجمات ToolShell على Microsoft SharePoint مرتبطة بالهاكرز الصينيين
الأمن السيبراني #Microsoft_SharePoint #ToolShell

هجمات ToolShell على Microsoft SharePoint مرتبطة بالهاكرز الصينيين

تاريخ النشر: آخر تحديث: 20 مشاهدة 0 تعليق 3 دقائق قراءة
مروان المسلماني
مروان المسلماني رئيس التحرير والمؤسس
20 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

في الآونة الأخيرة، ارتبطت عدة مجموعات من الهاكرز التي لها صلات بالحكومة الصينية بموجة من الهجمات الواسعة النطاق التي تستهدف سلسلة من الثغرات في Microsoft SharePoint.

Chinese hackers
Chinese hackers

استخدم هؤلاء المخترقون سلسلة الثغرات (المعروفة باسم "ToolShell") لاختراق العشرات من المنظمات حول العالم بعد اختراق خوادم SharePoint الخاصة بهم.

قالت Microsoft: "لقد رصدنا اثنين من الفاعلين المعروفين من الدولة الصينية، Linen Typhoon وViolet Typhoon، يستغلون هذه الثغرات التي تستهدف خوادم SharePoint المتصلة بالإنترنت". وأضافت: "بالإضافة إلى ذلك، فقد رصدنا فاعل تهديد آخر مقره الصين، يُعرف باسم Storm-2603، يستغل هذه الثغرات. التحقيقات جارية بشأن فاعلين آخرين يستخدمون هذه الاستغلالات أيضًا."

قال تشارلز كارماكال، المدير التنفيذي للتكنولوجيا في Mandiant Consulting التابعة لجوجل كلاود، لـ BleepingComputer: "نحن نقدر أن أحد الفاعلين المسؤولين عن هذا الاستغلال المبكر هو فاعل تهديد له صلات بالصين. من الضروري أن نفهم أن هناك عدة فاعلين يستغلون هذه الثغرة الآن".

في يوم الجمعة، رصدت شركة Eye Security الهولندية للأمن السيبراني أول هجمات من نوع zero-day تستغل الثغرات CVE-2025-49706 وCVE-2025-49704 (التي تم عرضها لأول مرة خلال مسابقة Pwn2Own في برلين من قبل باحثي Viettel Cyber Security).

أخبرت الشركة BleepingComputer أن 54 منظمة على الأقل قد تعرضت للاختراق بالفعل، بما في ذلك عدة شركات متعددة الجنسيات وكيانات حكومية وطنية.

كما كشفت شركة Check Point للأمن السيبراني يوم الاثنين أنها اكتشفت أول علامات الاستغلال في 7 يوليو، مضيفة أن المهاجمين استهدفوا عشرات الكيانات عبر الحكومة وقطاع الاتصالات والبرمجيات في أمريكا الشمالية وغرب أوروبا.

قامت Microsoft بتصحيح الثغرتين كجزء من تحديثات Patch Tuesday لشهر يوليو، وأعطت رقمين جديدين لـ CVE (CVE-2025-53770 وCVE-2025-53771) خلال عطلة نهاية الأسبوع للثغرات المستخدمة من قبل الفاعلين في اختراق خوادم SharePoint المحدثة بالكامل. منذ ذلك الحين، أصدرت تحديثات طارئة لإصدارات SharePoint Subscription Edition وSharePoint 2019 وSharePoint 2016 لمعالجة كلا الثغرتين.

الاستغلال متاح الآن

هذا الأسبوع، بعد أن أصدرت Microsoft تحديثات الأمان لجميع إصدارات SharePoint المتأثرة، تم أيضًا إصدار استغلال إثبات المفهوم CVE-2025-53770 على GitHub، مما يسهل على المزيد من الفاعلين والمجموعات الهاكرز الانضمام إلى الهجمات الجارية.

كما أضافت CISA ثغرة تنفيذ التعليمات البرمجية عن بُعد CVE-2025-53770 إلى كتالوج الثغرات المعروفة المستغلة، وأمرت الوكالات الفيدرالية بتطبيق التحديثات بعد يوم واحد من إصدارها.

قالت الوكالة: "توفر هذه الأنشطة الاستغلالية، التي تم الإبلاغ عنها علنًا باسم 'ToolShell'، وصولاً غير مصادق عليه إلى الأنظمة وتمكن الفاعلين الضارين من الوصول الكامل إلى محتوى SharePoint، بما في ذلك أنظمة الملفات والتكوينات الداخلية، وتنفيذ التعليمات البرمجية عبر الشبكة".

"تستجيب Microsoft بسرعة، ونحن نعمل مع الشركة لمساعدة الجهات المحتملة المتأثرة في معرفة التدابير الموصى بها. تشجع CISA جميع المنظمات التي لديها خوادم Microsoft SharePoint على اتخاذ إجراءات فورية موصى بها".

اليوم، شاركت Microsoft أيضًا المؤشرات التالية للاختراق (IOCs) لمساعدة المدافعين في تحديد خوادم SharePoint المخترقة على شبكتهم:

  • 134.199.202[.]205: عنوان IP يستغل ثغرات SharePoint
  • 104.238.159[.]149: عنوان IP يستغل ثغرات SharePoint
  • 188.130.206[.]168: عنوان IP يستغل ثغرات SharePoint
  • 131.226.2[.]6: Post-exploitation C2
  • Spinstall0.aspx: الويب شل المستخدم من قبل الفاعلين الضارين (يسمى أيضًا spinstall.aspx وspinstall1.aspx وspinstall2.aspx)
  • c34718cbb4c6.ngrok-free[.]app/file.ps1: نفق Ngrok الذي ينقل PowerShell إلى C2

تحديث 22 يوليو، 09:11 EDT: تم إضافة نسبة Microsoft.

خاتمة

تتزايد التهديدات السيبرانية المرتبطة بـ Microsoft SharePoint، مما يستدعي من المؤسسات اتخاذ إجراءات سريعة لحماية أنظمتها.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##Microsoft_SharePoint ##ToolShell ##Chinese_hackers

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!