ToolShell, Zingdoor и ShadowPad: как одна уязвимость SharePoint привела к волне кибератак по всему миру

leer en español

ToolShell Zingdoor ShadowPad KrustyLoader Sliver компрометация телеком
ToolShell, Zingdoor и ShadowPad: как одна уязвимость SharePoint привела к волне кибератак по всему миру
ToolShell Zingdoor ShadowPad KrustyLoader Sliver компрометация телеком

От веб-шелла до полного контроля: хронология скоординированной вредоносной кампании.

image

В середине лета 2025 года уязвимость ToolShell (CVE‑2025‑53770) стала отправной точкой крупной волны компрометаций — злоумышленники использовали брешь на серверах SharePoint вскоре после того, как Microsoft выпустила исправления, и получили неаутентифицированный доступ к файлам и исполнению кода. Первым задокументированным примером стала компрометация телеком‑оператора на Ближнем Востоке, где злоумышленники установили веб‑шелл и начали развёртывать полезную нагрузку уже 21 июля 2025 года.

В ряде атак на инфраструктуру применялись сложные средства загрузки и маскировки: через DLL Sideloading злоумышленники загрузили бэкдор Zingdoor — HTTP‑троян на Go, умеющий собирать данные системы, передавать файлы и запускать команды — а также модульный RAT ShadowPad, встречавшийся ранее в кампаниях с участием китайских группировок. 25 июля был задействован KrustyLoader — загрузчик на Rust, выполняющий антианализ, самоуничтожение и загрузку второго этапа, в том числе фреймворка Sliver, используемого для управления каналами связи и команд.

Операция охватила не только Ближний Восток: пострадали два правительственных отдела в африканской стране, учреждения в Южной Америке и университет в США; в одном случае злоумышленники маскировали вредоносный файл под имя mantec.exe, имитируя легитимные компоненты для сокрытия активности. Также имеются следы компрометации технологической государственной структуры в Африке и финансовой организации в Европе. Применялись LotL-инструменты и утилиты — от certutil до ProcDump и средств дампа LSASS — а для получения привилегий использовалась эксплуатация механизма PetitPotam.

Анализ свидетельствует о массовом сканировании на наличие уязвимости с последующей селекцией интересных целей и стремлении обеспечить длительный, скрытный доступ ради кражи учётных данных и шпионажа. Исследователи Symantec подчёркивают пересечение инструментов и тактик с предыдущими операциями, однако атрибуция остаётся неокончательной — все признаки указывают на группу акторов с привязкой к Китаю.

Индикаторы компрометации по файлам и сетевым адресам опубликованы для помощи реагированию и обнаружению признаков проникновения — организациям рекомендуется проверить журналы, применить доступные обновления безопасности и провести аудит целостности исполняемых файлов.