Киберпреступники атакуют серверы под управлением Microsoft SharePoint через уязвимость, закрытую тремя патчами в феврале, марте и апреле этого года. Об этом сообщили специалисты канадского центра реагирования на киберугрозы, а также их коллеги из Саудовской Аравии. По словам аналитиков, злоумышленники ищут непропатченные хосты и разворачивают на них вредоносную оболочку China Chopper, чтобы перехватить управление системой.

Как выяснили ИБ-эксперты, атакующие эксплуатируют CVE-2019-0604, связанную с некорректной проверкой разметки входящего пакета данных. Баг допускает удаленное выполнение стороннего кода и затрагивает базовые продукты семейства SharePoint:

  • Microsoft SharePoint Server 2019;
  • Microsoft SharePoint Enterprise Server 2016;
  • Microsoft SharePoint Foundation 2013 SP1;
  • Microsoft SharePoint Server 2010 SP2.

Производитель залатал брешь выпуском ряда обновлений, однако в сети доступны несколько эксплойтов для атаки на непропатченные серверы.

Несмотря на то, что во всех известных атаках применялась веб-оболочка China Chopper, ИБ-специалисты не связывают их между собой. Как указывают эксперты, этот инструмент используют криминальные группировки во всем мире — еще в 2015 году его заметили в кампаниях Emissary Panda. Исполняемый файл утилиты имеет размер всего 4 Кбайт, однако способен запускать скрипты JSP, ASP, ASPX, PHP и CFM на устройствах под управлением Windows и Linux.

По свидетельству канадских исследователей, вредоносная активность началась около двух недель назад и затронула промышленные предприятия, коммунальные службы и образовательные учреждения. Специалисты из Саудовской Аравии в свою очередь отмечают, что после первоначальной компрометации системы злоумышленники пытаются получить дополнительные привилегии и закрепиться в сети при помощи PowerShell-сценариев.

По меньшей мере один из зафиксированных инцидентов может быть связан с кибергруппировкой FIN7, ранее замеченной в нападениях на рестораны, отели и другие организации. Об этом сообщили исследователи компании AlienLabs, изучившие адреса командных серверов, задействованных в атаках.

Категории: Вредоносные программы, Уязвимости