مايكروسوفت تؤكد ارتباط هجمات SharePoint بمجموعات اختراق صينية
أعلنت شركة مايكروسوفت أنها رصدت استغلالًا نشطًا لثغرات أمنية في خوادم SharePoint الموجهة للإنترنت من قبل مجموعتي قرصنة صينية تُعرفان باسم Linen Typhoon و Violet Typhoon، وذلك منذ 7 يوليو 2025، مؤكدة تقارير سابقة. كما لاحظت الشركة تورط جهة تهديد ثالثة مقرها الصين تُعرف باسم Storm-2603.
وأوضحت مايكروسوفت أن الاستغلال السريع لهذه الثغرات يجعل من المرجح استمرار دمجها في الهجمات ضد أنظمة SharePoint المحلية غير المُحدَّثة.
خلفية عن المجموعات المهاجمة
-
Linen Typhoon (المعروفة أيضًا بـ APT27, Bronze Union, Emissary Panda, Iodine, Lucky Mouse, Red Phoenix, UNC215): نشطة منذ 2012 ومرتبطة ببرمجيات خبيثة مثل SysUpdate وHyperBro وPlugX.
-
Violet Typhoon (المعروفة أيضًا بـ APT31, Bronze Vinewood, Judgement Panda, Red Keres, Zirconium): نشطة منذ 2015 واستهدفت سابقًا الولايات المتحدة وفنلندا وتشيكيا.
-
Storm-2603: جهة تهديد صينية مشتبه بها، سبق لها نشر برمجيات الفدية Warlock وLockBit.
تفاصيل الثغرات المستغلة
تؤثر الثغرات على إصدارات SharePoint Server المحلية، وتشمل:
-
CVE-2025-49706: ثغرة انتحال هوية (Spoofing).
-
CVE-2025-49704: ثغرة تنفيذ أوامر عن بُعد (RCE).
تم تجاوز الإصلاحات الجزئية السابقة لهذه الثغرات عبر ثغرتين جديدتين:
-
CVE-2025-53771
-
CVE-2025-53770
وفقًا لمايكروسوفت، يتم الاستغلال عبر إرسال طلب POST إلى واجهة ToolPane، ما يؤدي إلى تجاوز المصادقة وتنفيذ أوامر عن بُعد.
آلية الهجوم
بعد الاستغلال، يقوم المهاجمون بزرع ملف web shell باسم spinstall0.aspx (وأسماء مشابهة مثل spinstall.aspx أو spinstall1.aspx) يتيح لهم سرقة بيانات MachineKey.
كما أظهر التحليل الجنائي الذي أجراه الباحث Rakesh Krishnan أن الهجوم يحاكي سلوكيات عمليات Microsoft Edge الشرعية لتجنب الاكتشاف، ويستخدم بروتوكول تحديث Google CUP لتمويه حركة المرور الضارة كطلبات تحديث عادية.
التوصيات الأمنية من مايكروسوفت
-
تثبيت آخر التحديثات لإصدارات SharePoint Server Subscription Edition و2019 و2016.
-
إعادة تدوير مفاتيح ASP.NET Machine Keys.
-
إعادة تشغيل خدمة IIS.
-
تفعيل Microsoft Defender for Endpoint أو حلول أمنية مكافئة.
-
دمج وتفعيل AMSI في وضع Full Mode مع تشغيل Microsoft Defender Antivirus أو بدائل موثوقة.
خلفية تاريخية
هذه ليست المرة الأولى التي يتم فيها ربط جهات تهديد صينية بهجمات ضد منتجات مايكروسوفت. ففي مارس 2021، استغلّت مجموعة Silk Typhoon (المعروفة بـ Hafnium) ثغرات يوم الصفر في Exchange Server.
وفي وقت سابق من يوليو 2025، تم اعتقال الصيني Xu Zewei في إيطاليا بتهم شن هجمات سيبرانية على جهات أمريكية عبر استغلال ثغرات ProxyLogon.
