گروههای Ransomware به حملات هدفمند علیه سرورهای Microsoft SharePoint پیوستند.
گروههای Ransomware اخیراً به مجموعهای از حملات فعال پیوستهاند که یک زنجیره آسیبپذیری در Microsoft SharePoint را هدف قرار داده و بخشی از یک کمپین گستردهتر بهرهبرداری است که تاکنون منجر به نفوذ به دستکم ۱۴۸ سازمان در سراسر جهان شده است.
محققان امنیتی در تیم Unit 42 از شرکت Palo Alto Networks موفق به شناسایی گونهای از باجافزار ۴L4MD4R شدهاند که بر پایه کد متنباز Mauri870 توسعه یافته است. این کشف در جریان بررسی حوادث مرتبط با زنجیره آسیبپذیری SharePoint که با نام “ToolShell” شناخته میشود، انجام شده است.
باجافزار مذکور در تاریخ ۲۷ ژوئیه شناسایی شد؛ زمانی که یک لودر بدافزار کشف شد که وظیفه داشت باجافزار را از دامنه theinnovationfactory[.]it (با IP آدرس ۱۴۵٫۲۳۹٫۹۷[.]۲۰۶) دانلود و اجرا کند. این لودر پس از یک تلاش ناموفق برای بهرهبرداری شناسایی شد که شامل اجرای دستورات مخرب PowerShell جهت غیرفعالسازی قابلیتهای نظارت امنیتی در سیستم هدف بود.
Unit 42 اعلام کرد: «تحلیل پیلود ۴L4MD4R نشان داد که این نمونه بهصورت UPX فشردهسازی شده و با زبان GoLang نوشته شده است. پس از اجرا، پیلود در حافظه، یک بارِ رمزنگاریشده با الگوریتم AES را رمزگشایی کرده، حافظهای را برای بارگذاری فایل PE رمزگشاییشده اختصاص میدهد و یک Thread جدید برای اجرای آن ایجاد میکند.»
باجافزار ۴L4MD4R فایلهای سیستم آلوده را رمزگذاری کرده و در ازای بازیابی آنها، مبلغ ۰٫۰۰۵ بیتکوین درخواست میکند. همچنین فایلهای رمزگذاریشده و یادداشتهای باجخواهی بر روی سیستم قربانی تولید میشوند.
Microsoft و Google نیز حملات ToolShell را به بازیگران تهدید وابسته به دولت چین نسبت دادهاند. پژوهشگران امنیتی Microsoft سه گروه مجزای هکری تحت حمایت دولت چین را شناسایی کردهاند: Linen Typhoon، Violet Typhoon و Storm-2603.
تا این لحظه، اهداف برجسته بسیاری در این کمپین فعال مورد نفوذ قرار گرفتهاند، از جمله سازمان ملی امنیت هستهای ایالات متحده (U.S. National Nuclear Security Administration)، وزارت آموزش آمریکا، اداره درآمد ایالت فلوریدا، مجلس عمومی رود آیلند، و همچنین شبکههای دولتی در اروپا و خاورمیانه.
Microsoft اعلام کرد: «ما دو بازیگر دولتی چینی با نامهای Linen Typhoon و Violet Typhoon را مشاهده کردهایم که در حال بهرهبرداری از این آسیبپذیریها در سرورهای SharePoint قابل دسترس از اینترنت هستند. همچنین بازیگر تهدید دیگری با منشأ چینی، با شناسه Storm-2603، نیز در حال سوءاستفاده از همین آسیبپذیریها است. بررسیها درباره سایر مهاجمان احتمالی که از این آسیبپذیریها بهرهبرداری کردهاند، همچنان ادامه دارد.»
شرکت امنیت سایبری هلندی Eye Security نخستینبار بهرهبرداری از ToolShell را در حملات روز صفر علیه آسیبپذیریهای CVE-2025-49706 و CVE-2025-49704 شناسایی کرد. این شرکت در ابتدا ۵۴ سازمان قربانی را شناسایی کرد که شامل نهادهای دولتی و شرکتهای چندملیتی بودند. شرکت Check Point Research نیز نشانههایی از بهرهبرداری را که به تاریخ ۷ ژوئیه بازمیگردد، کشف کرد؛ این حملات سازمانهای دولتی، مخابراتی و فناوری را در آمریکای شمالی و اروپای غربی هدف قرار داده بودند.
Microsoft دو آسیبپذیری مذکور را در بهروزرسانیهای امنیتی ماه ژوئیه ۲۰۲۵ (Patch Tuesday) اصلاح کرده و برای حملات روز صفر که حتی سرورهای SharePoint بهروزشده را تحت تأثیر قرار دادهاند، دو شناسه جدید CVE با عناوین CVE-2025-53770 و CVE-2025-53771 اختصاص داده است.
Piet Kerkhofs، مدیر ارشد فناوری در Eye Security، به وبسایت BleepingComputer گفته است که دامنه واقعی این حملات بسیار فراتر از برآوردهای اولیه است؛ دادههای این شرکت نشان میدهد که مهاجمان دستکم ۴۰۰ سرور را در شبکههای متعلق به حداقل ۱۴۸ سازمان آلوده کردهاند، که بسیاری از آنها برای مدتهای طولانی در معرض نفوذ بودهاند.
سازمان Cybersecurity and Infrastructure Security Agency (CISA) نیز آسیبپذیری CVE-2025-53770 از نوع remote code execution، که بخشی از زنجیره بهرهبرداری ToolShell محسوب میشود، را به فهرست رسمی آسیبپذیریهای مورد بهرهبرداری خود افزوده و از تمامی نهادهای فدرال خواسته است ظرف ۲۴ ساعت، سیستمهای خود را ایمنسازی کنند.