كشفت شركة Microsoft أن إحدى جماعات التهديد النشطة، والمعروفة باسم Storm-2603، تستغل ثغرات أمنية في خوادم SharePoint لتوزيع برمجية الفدية Warlock على الأنظمة غير المحصنة.
وقالت الشركة، في تحديث صدر يوم الأربعاء، إن هذا النشاط تم رصده بناءً على “تحليل موسع وبيانات استخبارات التهديدات المستقاة من المتابعة المستمرة لنشاط الاستغلال من قبل Storm-2603″، وهي جهة يُشتبه بانتمائها للصين ومعروفة باستخدامها المسبق لفديتي Warlock وLockBit.
تستهدف السلسلة الهجومية ثغرتين محددتين هما: CVE-2025-49706 (ثغرة تزوير الهوية) وCVE-2025-49704 (ثغرة تنفيذ التعليمات البرمجية عن بُعد)، حيث تُستغل لاستهداف خوادم SharePoint المحلية غير المحدثة، وزرع حمولة ضارة تحت اسم spinstall0.aspx عبر واجهة Shell.
أوضحت Microsoft أن المهاجمين يستخدمون العملية w3wp.exe لتنفيذ الأوامر، ومن ثم ينفذون سلسلة من أوامر الاستكشاف مثل الأمر “whoami” لمعرفة صلاحيات المستخدم.
كما تضمنت الهجمات استخدام أداة cmd.exe وسيناريوهات batch للانتقال داخل الشبكة، إضافة إلى استغلال services.exe لتعطيل آليات الحماية في Microsoft Defender عبر تعديل سجل النظام.
ووفقاً للتقرير، عمدت المجموعة إلى تثبيت مهام مجدولة وتعديل مكونات خدمات الإنترنت IIS لتشغيل ملفات NET. مشبوهة، بغية الحفاظ على موطئ قدم دائم حتى بعد سد الثغرات الأمنية.
من أبرز ممارسات المجموعة أيضاً استخدام أداة Mimikatz لاستخلاص بيانات اعتماد المستخدم من ذاكرة خدمة Local Security Authority Subsystem (LSASS)، تليها تحركات جانبية عبر أدوات PsExec وحزمة Impacket.
وأكدت الشركة أن Storm-2603 قامت بتعديل كائنات نهج المجموعة (Group Policy Objects) لتوزيع برمجية الفدية Warlock داخل البيئات المصابة.
توصيات احترازية لمستخدمي SharePoint
دعت Microsoft المؤسسات إلى اتخاذ التدابير التالية:
- التحديث إلى الإصدارات المدعومة من خوادم SharePoint.
- تثبيت آخر التحديثات الأمنية.
- تفعيل واجهة فحص البرامج الضارة (AMSI) وضبط إعداداتها بشكل سليم.
- نشر Microsoft Defender for Endpoint أو حلول مكافئة.
- تدوير مفاتيح ASP.NET الخاصة بالخادم.
- إعادة تشغيل خدمات IIS عبر iisreset.exe (إذا تعذر تفعيل AMSI).
- تفعيل خطة الاستجابة للحوادث السيبرانية.
نشاط مكثف واستهداف منظم لجهات حكومية
جاءت هذه التطورات بالتزامن مع تقارير من شركة ESET أكدت فيها رصدها لهجمات ToolShell على نطاق عالمي، تصدرتها الولايات المتحدة بنسبة 13.3% من إجمالي الهجمات، إلى جانب المملكة المتحدة، فرنسا، ألمانيا، إيطاليا، والبرتغال.
وأوضحت الشركة أن ضحايا هذه الهجمات شملت جهات حكومية حساسة كانت هدفاً مستمراً لجماعات التهديد.
من جهتها، أعلنت Check Point Research أن عدد محاولات الاختراق حتى 24 يوليو 2025 تجاوز 4600 محاولة، استهدفت أكثر من 300 مؤسسة في قطاعات متعددة أبرزها: الحكومات، البرمجيات، الاتصالات، الخدمات المالية، والخدمات التجارية.
أدوات إضافية تكشف نوايا التصعيد
كشفت WithSecure أن الهجمات ترافقت مع استخدام Web Shell يدعى Godzilla، في إشارة إلى حملة سابقة جرت في ديسمبر 2024، هدفت إلى سرقة مفاتيح ASP.NET المستخدمة لحماية خوادم SharePoint.
وأكدت الشركة أن من بين الأهداف الرئيسية للحملة الحالية سرقة هذه المفاتيح بهدف الإبقاء على صلاحية الوصول حتى بعد إغلاق الثغرات.
كما أوردت WithSecure معلومات عن أدوات إضافية استُخدمت في الهجمات، منها:
- أداة “Information” لجمع بيانات النظام وقائمة العمليات الجارية.
- أداة “RemoteExec” لتنفيذ الأوامر عبر cmd.exe.
- أداة “AsmLoader” لحقن التعليمات البرمجية في العمليات.
- أداة مخصصة لسرقة MachineKey مماثلة لـ spinstall0.aspx.
- أداة “BadPotato” لرفع الامتيازات داخل النظام.
وأشارت الشركة إلى أن طبيعة تنفيذ هذه الأدوات تدل على أن جهة التهديد ناطقة باللغة الصينية، رغم عدم القدرة على تأكيد الهوية بشكل قاطع حتى الآن.
