Вымогатель Warlock сдружился с SharePoint — теперь вместе грабят корпорации по всему миру.

Warlock и SharePoint: союз во имя киберграбежа

Вымогатель Warlock теперь действует в связке с SharePoint — их злобный дуэт прячется в поддельных скриптах и возвращается даже после удаления. Волна атак на уязвимости Microsoft SharePoint растёт — масштабы сравнимы с расцветом LockBit.

За кампанией стоит китайская группа Storm-2603, использующая две свежие уязвимости (CVE-2025-49706 и CVE-2025-49704), позволяющие захватить полный контроль над сервером. Главная точка входа — вредоносный скрипт spinstall0.aspx, после чего начинается цепочка команд, отключение Defender, в том числе AMSI, и закрепление через задачи и изменения в IIS.

Злоумышленники воруют пароли с помощью Mimikatz, распространяются по сети с PsExec и Impacket, а финальный удар наносится через GPO, где и внедряется Warlock. Также используются инструменты ToolShell, BadPotato, RemoteExec и AsmLoader.

От атак пострадали США, Великобритания, Германия и другие страны. По данным ESET и Check Point, компрометации зафиксированы в более чем 300 организациях по всему миру, включая госструктуры и телеком.

Хакеры крадут ASP.NET MachineKey, что позволяет возвращаться в систему даже после устранения уязвимостей. Кампания напоминает атаки декабря 2024 года — методы те же.

Microsoft и ESET указывают на китайское происхождение атак, но официальных подтверждений нет. Китай отрицает причастность.

Рекомендации Microsoft: срочно установить обновления, включить AMSI, сменить ASP.NET ключи, перезапустить IIS и убедиться в работоспособности антивируса. Без этого — велика вероятность новых взломов.

Противостояние уязвимостям в SharePoint превращается в затяжную борьбу, где ставка — безопасность всей инфраструктуры.