ToolShell ekspluatatsiyasi: SharePoint orqali davlat organlari va muhim infratuzilmalar tarmoqlari zabt etilmoqda

Dunyo bo‘ylab hukumat organlari, ta’lim muassasalari va muhim infratuzilmalarni nishonga olgan yangi hujumlar bir e’tiborni yana birga tortdi: Microsoft SharePoint serverlarida aniqlangan ToolShell (CVE-2025-53770) zaifligi orqali amalga oshirilgan keng qamrovli ekspluatatsiya. Microsoft o‘zining xavfsizlik bo‘limi orqali ushbu zaiflikni e’lon qilib, mijozlarni zudlik bilan yangilashga chaqirdi.

Zaiflikning mohiyati va ekspluatatsiya zanjiri

ToolShell — SharePoint serverlaridagi ishonchsiz ma’lumotlarni deserializatsiya qilishdagi xatolikdan kelib chiqqan zaiflik bo‘lib, u orqali autentifikatsiya talab qilmasdan masofadan kod bajarish (RCE) amalga oshirish mumkin. Zaiflik iyul 2025’da oshkor etilgan bo‘lsa-da, tezkor yamalarga qaramay, hujumchilar patch (yangilanish) tarqalganidan so‘ng darhol undan foydalanishni boshlaganlar.

Eksploit zanjiri quyidagicha ishlaydi:

  • dastlab ToolPane.aspx endpointiga maxsus tayyorlangan POST so‘rovi orqali autentifikatsiya chetlab o‘tish yaratiladi (CVE-2025-53771 bilan bog‘langan holatlar kuzatiladi);
  • so‘ngra vebshell joylashtiriladi va legalligi shubhali, lekin tasviriy nomlangan fayllar orqali (masalan, “mantec.exe”) DLL sideloading usuli bilan zararli modul yuklanadi;
  • undan keyin turli oraliq va ikkinchi bosqichdagi yuklamalar — Zingdoor, ShadowPad, KrustyLoader, Sliver kabi vositalar orqali tizimga doimiy (persistent) kirish o‘rnatiladi.

Kimlar va qayerlar nishonlandi

Microsoft va mustaqil tahqiqotchilarning aniqlashicha, ushbu zaiflikdan kamida uchta Xitoyga oid guruh — Budworm (Linen Typhoon), Sheathminer (Violet Typhoon) va Storm-2603 — faol foydalangan. Voqealar doirasi keng: Yaqin Sharq, Afrika, Janubiy Amerika, Shimoliy Amerika va Yevropadagi hukumat organlari, telekommunikatsiya kompaniyalari, universitet va moliya tashkilotlari buzilganligi tasdiqlangan. Umumiy aniqlangan buzilishlar soni 400 dan ortiq ekani haqida xabarlar mavjud.

Foydalanilgan vositalar va taktika

Hujumchilarning arsenalida quyidagi usullar va vositalar qayd qilingan:

  • Living-off-the-land usullar — Certutil, Procdump, LsassDumper va boshqalar orqali qonuniy vositalardan foydalanib yuklab olish va credential dump qilish;
  • DLL sideloading — legallikka o‘xshash fayllardan foydalanib zararli kodni yuklash;
  • Custom backdoor va loaderlar — Zingdoor (HTTP backdoor), ShadowPad (modulyar RAT), KrustyLoader (Rust’da yozilgan loader), Sliver (C2 framework) va boshqalar;
  • Qo‘shimcha ekspluatlar — PetitPotam (CVE-2021-36942) kabi eskirgan, ammo samarali eskalatsiya ekspluatlari orqali imtiyoz olish.

Ko‘rsatgichlar (IoC) va fayl hash’lari

Tadqiqotlar turli SHA256 hash’lari va C2 server URL’larini aniqlagan. Ba’zi muhim ko‘rsatgichlar (to‘liq ro‘yxat emas, faqat misol uchun):

  • 6240e39475f04bfe... — LsassDumper;
  • 929e3fdd30680576... — KrustyLoader;
  • db15923c814a4b00... — ehtimol ShadowPad;
  • 071e662fc5bc0e54... — Zingdoor;
  • C2 URL’lari: http://kia-almotores.s3.amazonaws[.]com/sy1cyjt, http://omnileadzdev.s3.amazonaws[.]com/PBfbN58lX.

Izoh: yuqoridagi IoC’lar tarmoq va tizim xavfsizligini tekshirishda muhim, lekin ularni amaliy tekshiruv va inkor etishsiz (sanbox/izolyatsiyalangan muhitda) ishga tushirmang.

Tavsiyalar — darhol bajarilishi lozim choralar

  1. Barcha on-premises SharePoint instansiyalarini tekshiring va darhol patch qiling. Microsoft tomonidan chiqarilgan yangilanishlar o‘rniga qo‘yilishi eng muhim chora.
  2. Veb-server va SharePoint loglarini qayta ko‘rib chiqing — noyob POST so‘rovlar, ToolPane.aspx bilan bog‘liq g‘ayrioddiy faoliyat va vebshell belgilarini qidiring.
  3. Tarmoq segmentatsiyasini kuchaytiring va ruxsatsiz lateral movement’ni cheklovchi qoidalarni joriy eting.
  4. Endpoint va EDR tizimlarini yangilang, belgilangan hash’lar va signaturalar bo‘yicha skan qiling.
  5. Kerakli forensika va zaxira nusxa rejasini ishga soling — buzilish aniqlansa, darhol izolyatsiya, saqlash va tergov jarayonlarini boshlang.
  6. Loglarni saqlash va SIEM tizimlarida indikatsiyalarni doimiy monitoring qiling, hamda IOC’larni (hash, URL, IP) avtomatik qoidalar sifatida kiritish.
  7. Xodimlarni xabardor qiling — zaxira parollar, ikki faktorli autentifikatsiyani tekshirish va phishing hamda lateral hujumlarga qarshi chora-tadbirlarni kuchaytirish.

ToolShell zaifligi va undan keyingi keng ko‘lamli ekspluatatsiyalar — zamonaviy kiber-xavfsizlik maydonidagi eng muhim ogohlantirishlardan biridir. Hujumlar nafaqat texnik ravishda murakkab, balki strategik jihatdan ham o‘tkir: davlat va muhim infratuzilmalarni nishonga olish orqali uzoq muddatli, yashirin kirishlar o‘rnatilmoqda. Tashkilotlar uchun asosiy dars oddiy — tezkor yangilanishlar, qat’iy monitoring va qatlamli himoya yo‘q bo‘lsa, hatto eng ishonchli tizimlar ham buzilishi mumkin.