Storm-2603 Exploits SharePoint Flaws – هجوم Storm-2603 يستغل ثغرات SharePoint لنشر فيروس الفدية Warlock
تحليل أمني - 24 يوليو 2025
الكاتب: مايستر نيرو
كشفت شركة Microsoft أن مجموعة Storm-2603 المدعومة ماليًا – والمشتبه بارتباطها بالصين – استغلت ثغرات خطيرة في خوادم SharePoint غير المحدّثة لنشر فيروس الفدية Warlock.
كيف تم تنفيذ الهجوم؟
اعتمد الهجوم على ثغرتين تم رصدهما تحت رمزي CVE-2025-49706 (انتحال) وCVE-2025-49704 (تنفيذ أوامر عن بعد). تم تحميل web shell يدعى spinstall0.aspx بعد استغلال الثغرات لتنفيذ أوامر على النظام.
بعد الاختراق، تقوم المجموعة بتنفيذ أوامر استكشافية مثل whoami لتحديد صلاحيات الوصول، كما تُستخدم أدوات مثل cmd.exe وbatch scripts للتنقل داخل الشبكة.
تقنيات متقدمة للبقاء والانتشار
تم تعطيل حماية Microsoft Defender من خلال تعديل سجل النظام (Registry)، إضافة إلى إنشاء مهام مجدولة وتعديل مكونات IIS لتشغيل ملفات .NET مشبوهة.
كما استخدم المهاجمون أداة Mimikatz لاستخراج كلمات المرور من ذاكرة LSASS، وأدوات PsExec وImpacket لتنفيذ هجمات التنقل الجانبي.
تم استخدام GPO لنشر فيروس Warlock داخل البيئة المصابة، مما يعكس استعدادًا عالياً واستراتيجية منظمة.
كيف تحمي نفسك؟
- تحديث خوادم SharePoint إلى الإصدارات المدعومة وتطبيق التحديثات الأمنية.
- تفعيل Antimalware Scan Interface (AMSI) وضبطه بالشكل الصحيح.
- إعادة تعيين مفاتيح ASP.NET الخاصة بالخادم.
- استخدام Microsoft Defender for Endpoint أو حل مشابه.
- إعادة تشغيل IIS بعد التحديث باستخدام الأمر iisreset.exe.
- تنفيذ خطة استجابة للحوادث.
استغلت مجموعة Storm-2603 ثغرات في SharePoint لنشر فيروس Warlock، مما يعكس خطورة تأخير التحديثات الأمنية. يُنصح باتخاذ التدابير الوقائية فورًا.
تم التعديل في: 24 يوليو 2025