Google та Microsoft повідомляють, що китайські хакери використовують уразливість нульового дня в SharePoint

Дослідники з Google та Microsoft повідомили про зловмисників, пов’язаних із Китаєм, які використовують уразливість нульового дня в Microsoft SharePoint, в той час як компанії по всьому світу намагаються закрити цей недолік.

Уразливість, відома як CVE-2025-53770, була виявлена минулого тижня і дозволяє зловмисникам викрадати чутливі приватні ключі з самостійно розміщених версій SharePoint. Це програмне забезпечення часто використовується компаніями для зберігання та обміну внутрішніми документами. При експлуатації недоліку зловмисник може віддалено встановити шкідливе ПЗ та отримати доступ до файлів і даних, що зберігаються, а також до інших систем в тій же мережі.

У блозі, опублікованому у вівторок, Microsoft зазначила, що зафіксувала принаймні дві китайські хакерські групи, яких вона називає “Linen Typhoon” та “Violet Typhoon”, що експлуатують цю вразливість. Microsoft зазначила, що Linen Typhoon зосереджена на викраденні інтелектуальної власності, тоді як Violet Typhoon намагається отримати приватну інформацію для шпигунства.

Крім того, Microsoft зв’язала постійні атаки з ще однією китайською хакерською групою, яку компанія назвала “Storm-2603”. Про цю групу в компанії мають менше інформації, але відзначили, що зловмисники були пов’язані з атаками програм-вимагачів у минулому.

Згідно з даними від Microsoft, три хакерські групи почали використовувати вразливість нульового дня для нападів на уразливі сервери SharePoint ще з 7 липня.

Чарльз Кармакал, технічний директор підрозділу реагування на інциденти Google Mandiant, повідомив у листі, що “принаймні один з відповідальних” є хакерською групою, що має зв’язок з Китаєм, і зазначив, що “декілька злочинців зараз активно експлуатують цю вразливість”.

Десятки організацій вже стали жертвами атак, зокрема в державному секторі. Уразливість вважається нульовим днем, оскільки постачальник — в даному випадку Microsoft — не встиг видати патч до моменту її активного використання. Microsoft вже випустила патчі для всіх уражених версій SharePoint, але дослідники безпеки попередили, що клієнти, які використовують самостійно розміщені версії SharePoint, мають вважати, що їх вже могли зламати.

Китайський уряд неодноразово заперечував звинувачення в проведенні кібернападів, хоча і не завжди чітко спростовував свою причетність.

Коли запросили коментар, Ліу Пеньюй, речник китайського посольства у Вашингтоні, зазначив у заяві, що Китай “рішуче протистоїть та бореться з усіма формами кібернападів та кіберзлочинності — це послідовна і чітка позиція”.

Це остання хакерська кампанія, пов’язана з Китаєм, за останні роки. Зловмисників з Китаю звинувачували у атаках на самостійно розміщені сервери електронної пошти Microsoft Exchange у 2021 році в рамках масової хакерської кампанії. Згідно з недавнім обвинуваченням Міністерства юстиції, яке звинувачує двох китайських хакерів у організації цих атак, так звані “Hafnium” зламали контактні дані та приватні поштові скриньки на більш ніж 60 000 уражених серверах.