كشفت Microsoft أن الجهات الفاعلة التهديدات في الدولة الصينية تستهدف بنشاط واستغلال ثغرة أمنية صفر في يوم صفر في خادم SharePoint ، تأكيد تقارير سابقة من Google Cloud’s Mandiant وغيرها.
في تحديث تم نشره حديثًا ، قالت Microsoft إن اثنين من الممثلين التهديدين المعروفين-Typhoon و Violet Typhoon-يستهدفان مثيلات SharePoint التي تواجه الإنترنت. بالإضافة إلى ذلك ، قالت إن الممثل الذي تم تتبعه حاليًا باسم Storm-2603 يعمل أيضًا على مآثر. وقال ريدموند إنه يحقق أيضًا في الجهات الفاعلة الأخرى باستخدام مآثر ، ويتوقع أن يتم دمجها بسرعة في هجمات أخرى.
“كما لوحظ في مدونتنا هذا الصباح ، أصدرت Microsoft تحديثات أمان شاملة جديدة لجميع الإصدارات المدعومة من SharePoint Server و Cupcription Edition و 2019 و 2016 ، التي تحمي العملاء من هذه الثغرات الأمنية ، “أخبر متحدث باسم Microsoft Computer Weekly.
بالإضافة إلى ذلك ، أصدرنا أيضًا إرشادات الصيد والتخفيف للعملاء عبر 19 يوليو مدونة MSRC وكذلك مدونة MSTIC اليوم. توجيهنا للعملاء هو أنهم يطبقون هذه التحديثات على الفور لضمان حمايتها. لقد قدمنا الآن تحديثات لجميع نقاط الضعف المعروفة. ”
نقاط الضعف في النطاق ، CVE-2025-53770 و CVE-2025-53771 ، التي سبق أن تم الكشف عن العيوب التي تم الكشف عنها سابقًا على أنها CVE-2025-49704 و CVE-2025-49706. يمكّن أول وأكثر خطورة من التنفيذ الكامل للرمز البعيد (RCE) ويؤثر على جميع الإصدارات المدعومة من خادم SharePoint.
وقالت Microsoft إنه استنادًا إلى التكتيكات والتقنيات والإجراءات المعروفة (TTPs) التي تستخدمها Linen Typhoon و Violet Typhoon و Storm-2603 ، فقد تمكنت من تحديد عمليات المحاولة ضد CVE-2025-49704 و CVE-2025-40706 في أو حوالي 7 يوليو 2025.
إعصار تهب في
ممثل تهديدات Microsoft تصنيف تسمية ، الذي تم تحديثه في عام 2023 فصول الجهات الفاعلة المتميزة تهديدات من الأحداث الأرصاد الجوية لتسهيل على العملاء والباحثين التعرف على التهديدات وفهم ما قد يتعاملون معه.
في ظل هذا النظام ، تشير عاصفة ثلجية قوية إلى ممثلين للتهديدات الروسية ، والعاصفة الرملية إلى الإيرانيين ، وذوي الكوريا الشمالية ، والإعصار إلى الصين. يتم استخدام Tempest لتصنيف العصابات ذات الدوافع المالي مثل ممثلي رانسومواري ، وتشير العاصفة في هذه الحالة إلى “مجموعات في التنمية”.
في هذه الحالة ، يشير إعصار الكتان وعاصلة البنفسجي إلى مجموعتين متميزتين من نشاط التهديد الصيني-Nexus.
كانت Linen Typhoon نشطة منذ عام 2012 تقريبًا وتركز عمومًا على سرقة الملكية الفكرية من ضحاياها – لقد كان هذا منذ فترة طويلة هدفًا رئيسيًا لمهام التجسس الإلكترونية في الصين. يستهدف المتسللون في المقام الأول المنظمات التي أحبها الحكومة والدفاع والتخطيط الاستراتيجي وحقوق الإنسان. إنه يفضل في المقام الأول “حل وسط” ، وغالبًا ما يعتمد على مآثر موجودة وغير مشوهة للتسلل إلى ضحاياها.
تنشط Typhoon Violet منذ عام 2015 ويركز على المزيد من نشاط التجسس النقي ، حيث استهدفت الحكومة السابقين والمنظمات العسكرية والمنظمات غير الحكومية (المنظمات غير الحكومية) ، والتفكير ، ومؤسسات التعليم العالي ، ووسائل الإعلام ، والمنظمات المالية ، والرعاية الصحية. يميل ضحاياها إلى التركيز في شرق آسيا وأوروبا وأمريكا الشمالية. تتمثل طريقة التشغيل الخاصة به في المسح الضوئي للضغوط في البنية التحتية للاتصال على شبكة الإنترنت واستغلال نقاط الضعف التي يكتشفها لتثبيت قذائف الويب.
في هذه الأثناء ، يُشتبه في أن العاصفة 2603 ممثل تهديد صيني لأن الروابط بينها وبين APTs الأخرى لم يتم تأسيسها بعد. تقوم Microsoft بتتبعها بالاشتراك مع محاولات سرقة مفاتيح الآلات عبر نقاط الضعف في SharePoint. ومن المثير للاهتمام أن العاصفة -20603 قد لوحظت بمثابة شركة تابعة لفدية ، من بين أمور أخرى ، Lockbit ، لكن محللو Microsoft يقولون إنهم لا يمكنهم تقييم أهدافها الحقيقية بثقة كبيرة.
أكد فريق Microsoft Research أن الجهات الفاعلة الإضافية على الأرجح ستستخدم مآثر SharePoint لاستهداف الأنظمة غير المحصنة ، مع التركيز على الحاجة إلى اتخاذ خطوات استباقية على الفور.
