Grup peretasan yang berbasis di China menggunakan ransomware warlock di server Microsoft SharePoint yang rentan terhadap serangan luas yang menargetkan baru -baru ini ditambal Toolshell Rantai Eksploitasi Zero-Day.
Organisasi Keamanan Nirlaba Shadowserver saat ini melacak lebih dari 420 server SharePoint yang terpapar online dan tetap rentan terhadap serangan yang sedang berlangsung ini.
“Meskipun Microsoft telah mengamati aktor ancaman ini menggunakan Warlock dan Lockbit Ransomware di masa lalu, Microsoft saat ini tidak dapat dengan percaya diri menilai tujuan aktor ancaman,” dikatakan Dalam laporan hari Rabu.
“Mulai 18 Juli 2025, Microsoft telah mengamati Ransomware Storm-2603 yang menggunakan ransomware menggunakan kerentanan ini.
Setelah melanggar jaringan korban, operator Storm-2603 menggunakan alat peretasan Mimikatz untuk mengekstraksi kredensial plaintext dari memori LSASS.
Mereka kemudian bergerak secara lateral dengan psexec dan toolkit impacket, mengeksekusi perintah melalui instrumentasi manajemen windows (WMI), dan memodifikasi objek kebijakan grup (GPO) untuk memberikan ransomware warlock di seluruh sistem yang dikompromikan.
“Pelanggan harus segera menerapkan pembaruan keamanan server SharePoint di tempat dan ikuti panduan mitigasi terperinci di blog kami,” Microsoft juga diperingatkan.
Peneliti Intelijen Ancaman Microsoft juga telah terhubung Topan linen dan topan violet kelompok peretasan yang didukung negara Cina dengan serangan ini pada hari Selasa, beberapa hari setelah perusahaan keamanan siber Belanda Eye Security Pertama-tama mendeteksi serangan nol mengeksploitasi kerentanan CVE-2025-49706 dan CVE-2025-49704.
Sejak itu, keamanan mata CTO Piet Kerkhofs mengatakan kepada BleepingComputer bahwa jumlah entitas yang dilanggar jauh lebih besar, dengan “sebagian besar dari mereka sudah dikompromikan untuk beberapa waktu.” Menurut statistik perusahaan cybersecurity, para penyerang sejauh ini telah menginfeksi setidaknya 400 server dengan malware dan melanggar 148 organisasi di seluruh dunia.
Cisa juga Menambahkan cacat eksekusi kode jarak jauh CVE-2025-53770bagian dari rantai eksploitasi toolshell yang sama, dengan katalog kerentanannya yang dieksploitasi di alam liar, memerintahkan badan -badan federal AS untuk mengamankan sistem mereka dalam satu hari.
Namun, awal minggu ini, Departemen Energi Dikonfirmasi Bahwa Administrasi Keamanan Nuklir Nasional (Badan Senjata Nuklir AS) dilanggar dalam serangan Microsoft SharePoint yang sedang berlangsung, meskipun agensi tersebut belum menemukan bukti bahwa informasi sensitif atau rahasia dikompromikan dalam insiden tersebut.
Bloomberg dilaporkan Bahwa para penyerang juga meretas sistem di Departemen Pendidikan AS, Majelis Umum Rhode Island, dan Departemen Pendapatan Florida, serta jaringan pemerintah Eropa dan Timur Tengah.
The Washington Post juga dilaporkan Bahwa Departemen Kesehatan dan Layanan Kemanusiaan Institut Kesehatan Nasional (Badan Penelitian Medis AS) juga dilanggar.
UPDATE 24 Juli, 06:15 EDT: Revisi Story Untuk memperjelas bahwa Storm-2603 adalah aktor ancaman yang berbasis di China.
Dewan Dewan Dek Dek Cisos benar -benar digunakan
Cisos tahu bahwa mendapatkan buy-in dewan dimulai dengan pandangan yang jelas dan strategis tentang bagaimana keamanan cloud mendorong nilai bisnis.
Dek laporan dewan gratis yang dapat diedit ini membantu para pemimpin keamanan menghadirkan risiko, dampak, dan prioritas dalam hal bisnis yang jelas. Ubah pembaruan keamanan menjadi percakapan yang bermakna dan pengambilan keputusan yang lebih cepat di ruang dewan.
