SharePoint

Source: Microsoft Defender Security Research Team. Contexte: les chercheurs détaillent une campagne multi-étapes d’AiTM phishing évoluant vers des activités de BEC contre plusieurs organisations du secteur de l’énergie, abusant de SharePoint pour la livraison et s’appuyant sur des règles de messagerie pour la persistance et l’évasion. Résumé opérationnel: Les attaquants ont initialement exploité une identité de tiers de confiance compromise pour envoyer un lien SharePoint légitime nécessitant authentification, mimant les workflows de partage SharePoint. Après clic, la chaîne a inclus une attaque AiTM (vol/usage de cookies de session) et la création de règles supprimant et marquant comme lus les emails entrants, afin de masquer l’activité. Les comptes compromis ont servi à une campagne de phishing à grande échelle (>600 emails) vers contacts internes/externes et listes de distribution, sélectionnés depuis les fils récents. Les opérateurs ont ensuite mené des tactiques BEC: surveillance des NDR/OOO, suppression des traces, réponses rassurantes aux doutes, puis poursuite des compromissions en chaîne via de nouveaux clics. Détections et réponses Microsoft Defender XDR: ...

Analyse Threat Research publiée par la Sophos Counter Threat Unit (CTU) (“GOLD SALEM tradecraft for deploying Warlock ransomware”, 11 décembre 2025). Objectif : documenter l’évolution du mode opératoire d’un groupe cybercriminel (GOLD SALEM) sur 6 mois et 11 incidents, en reliant précurseurs, outillage, infrastructure et tentatives de déploiement de ransomware Warlock. Tactiques GOLD SALEM pour déployer Warlock (Warlock / LockBit / Babuk) 1) Constat & attribution Sophos CTU observe des intrusions (mars → septembre 2025) attribuées avec haute confiance à un acteur cherchant à déployer Warlock ransomware (groupe GOLD SALEM). Mise en contexte : en juillet 2025, Microsoft signale des déploiements Warlock via la chaîne d’exploit ToolShell sur SharePoint on-prem (Storm-2603 chez Microsoft, GOLD SALEM chez Sophos). Sur 11 incidents : certains vont jusqu’à une tentative ou déploiement de ransomware (Warlock le plus souvent), d’autres sont des précurseurs (pré-positionnement / staging / accès / outillage). 2) Chaîne d’attaque (vue “kill chain”) Accès initial Souvent indéterminé faute de preuves. Plusieurs cas via exploitation SharePoint, dont un cas via la chaîne ToolShell après disponibilité d’exploits publics. Exemple technique : processus SharePoint w3wp.exe qui lance msiexec.exe, menant au téléchargement/installation d’outils (ex. Velociraptor) depuis des sous-domaines Cloudflare Workers workers[.]dev. Persistance & création de comptes Création de comptes admin pour persistance : net user backupadmin abcd1234 admin_gpo abcd1234 net1 localgroup administrators lapsadmin1 /add Accès aux identifiants / credential dumping Repérage de lsass.exe : tasklist /v /fo csv | findstr /i "lsass.exe" Utilisation probable de MiniDump via comsvcs.dll pour extraire des hash/identifiants. Mention d’un Mimikatz packé (au moins un incident). Dans un incident : outil de dump mots de passe Veeam. Exécution / Post-exploitation Usage “LOTL” et outillage légitime : Velociraptor (outil DFIR) détourné : déploiement à partir de v2.msi / v3.msi VS Code en mode tunnel (code.exe ou vscode.exe) comme canal C2 / accès distant Cloudflared (tunnel Cloudflare) parfois déployé Autres outils vus en staging : OpenSSH, Radmin, MinIO client, SecurityCheck (inventaire logiciels sécurité) Évasion / neutralisation de la défense Outil “AV/EDR killer” : vmtools.exe (et variantes). BYOVD (Bring Your Own Vulnerable Driver) avec drivers : rsndispot.sys / rspot.sys (métadonnées liées à un éditeur chinois) kl.sys parfois ServiceMouse.sys Suspicion de DLL side-loading (Java via jli.dll) dans certains cas (non confirmé). Command & Control / infrastructure Forte utilisation de Cloudflare Workers (workers[.]dev) pour : staging d’outils, serveur C2 pour Velociraptor, et/ou relai pour tunnels (VS Code / Cloudflared). Rotation d’infrastructure après publication CTU : nouveau domaine qgtxtebl[.]workers[.]dev observé en septembre. 3) Impact observé (ransomware) Variants vus : Warlock, LockBit 3.0, Babuk (ESXi). Warlock semble dérivé du builder LockBit 3.0 leaké (hypothèse partagée par d’autres rapports selon l’article). Extensions de chiffrement associées à Warlock : .x2anylock (principalement), parfois .xlockxlock. Notes de rançon : variations (qTox ID multiples), parfois mention explicite “Warlock Group”. Publication des victimes sur un site de fuite Tor (tiles + compte à rebours → fuite/vente des données si rançon non payée). 4) Victimologie & discussion Certains secteurs “intéressants” (télécom, nucléaire, R&D avancée…) pourraient évoquer une motivation opportuniste ou plus stratégique, mais Sophos conclut : groupe financièrement motivé, pas de preuve d’espionnage ni de direction étatique. Indices “faible confiance” d’une composante chinoise : TTPs/infrastructure, drivers d’éditeurs chinois, ciblage Russie/Taïwan, recoupements SharePoint. 🧠 TTPs (MITRE ATT&CK — synthèse) Initial Access : exploitation appli web (SharePoint / ToolShell) Execution : msiexec.exe, PowerShell encodé ; exécution via Velociraptor Persistence : création de comptes admin (net user, localgroup administrators) Credential Access : dump LSASS (comsvcs.dll / MiniDump), Mimikatz (packé), dump Veeam Defense Evasion : kill AV/EDR (vmtools), BYOVD (drivers rsndispot.sys, kl.sys, ServiceMouse.sys), possible DLL side-loading (jli.dll) Command and Control : tunnels via VS Code tunnel, Cloudflared, infra Cloudflare Workers Collection/Discovery : inventaire outils sécurité via SecurityCheck, exploration via “Everything” (un incident) Impact : chiffrement (Warlock/LockBit/Babuk), note de rançon, leak site 🔎 IoCs / Indicateurs (extraits de l’article Sophos) Domaines / URL files[.]qaubctgg[.]workers[.]dev (staging) velo[.]qaubctgg[.]workers[.]dev (C2 Velociraptor, août 2025) royal-boat-bf05[.]qgtxtebl[.]workers[.]dev (C2 Velociraptor, sept. 2025) hxxps://stoaccinfoniqaveeambkp[.]blob[.]core[.]windows[.]net/veeam/ (Azure blob : stockage outil) Fichiers / noms caractéristiques Notes de rançon : How to decrypt my data.log, How to decrypt my data.txt Installers/outils (staging observé) : v2.msi, v3.msi, cf.msi, ssh.msi, site.msi, code.exe, code.txt, sc.msi, radmin-en.msi, radmin.reg, mc, mc.exe, DEP.7z Hashes (sélection) vmtools.exe (AV/EDR killer) ...

Selon theregister.com, Microsoft a modifié son programme Microsoft Active Protections Program (MAPP) après les attaques zero‑day visant SharePoint en juillet. Un porte‑parole (David Cuddy) a indiqué à Bloomberg que les entreprises situées dans des pays où les vulnérabilités doivent être signalées aux gouvernements, dont la Chine, ne recevront plus de code de preuve de concept (PoC) avant publication des correctifs, mais uniquement une description écrite générale synchronisée avec les patches. Microsoft n’a pas répondu aux questions de The Register et a refusé de commenter son enquête interne. ...

Selon DataBreachToday.eu, une intrusion a visé le réseau de la Chambre des communes du Canada, compromettant une base sensible contenant des informations de localisation de bureaux et des données personnelles d’élus et d’employés. Un courriel interne obtenu par CBC News indique que la base contenait des informations utilisées pour gérer des ordinateurs et des mobiles, compromises via l’exploitation d’une vulnérabilité récente Microsoft. Le Bureau du Président (House of Commons) a déclaré travailler avec ses partenaires de sécurité nationale et n’a pas donné plus de détails pour des raisons de sécurité. ...

Selon Trustwave SpiderLabs, une campagne baptisée « ToolShell » cible massivement des serveurs Microsoft SharePoint on‑premises via une chaîne de quatre vulnérabilités, dont CVE-2025-49706 et CVE-2025-53770, permettant un contournement d’authentification puis une exécution de code à distance (RCE). Des acteurs étatiques chinois, notamment Linen Typhoon et Violet Typhoon, exploitent activement ces failles pour obtenir et maintenir un accès persistant. 🚨 Le point d’entrée consiste à exploiter CVE-2025-49706 au moyen de requêtes POST spécialement conçues vers /_layouts/{version}/ToolPane.aspx?DisplayMode=Edit, combinées à des en‑têtes Referer manipulés pour bypasser l’authentification. Les attaquants déploient ensuite des pages ASPX malveillantes (ex. spinstall0.aspx) afin d’extraire des clés cryptographiques SharePoint. ...

Selon ProPublica, Microsoft a annoncé qu’un groupe soutenu par l’État chinois avait exploité des failles dans SharePoint (On‑Prem), permettant un accès étendu à des systèmes de centaines d’entreprises et d’agences fédérales, dont la NNSA et le DHS. Le média souligne que le support et la maintenance de SharePoint sont depuis des années assurés par une équipe d’ingénieurs basée en Chine. Des captures d’écran d’un outil interne de Microsoft montrent des employés en Chine corrigeant récemment des bugs sur SharePoint On‑Prem. Microsoft indique que cette équipe est supervisée par un ingénieur basé aux États‑Unis, soumise aux exigences de sécurité et aux revues de code, et qu’un transfert de ces activités vers un autre lieu est en cours. ...

Selon Unit 42, un acteur de menace, identifié comme Storm-2603, exploite des vulnérabilités SharePoint à travers un ensemble d’activités nommé CL-CRI-1040. Ce groupe utilise un outil de malware sophistiqué appelé Project AK47, démontrant une motivation financière. Le malware Project AK47 comprend plusieurs composants, notamment le cheval de Troie AK47C2 qui utilise les protocoles DNS et HTTP pour communiquer, ainsi que le rançongiciel AK47/X2ANYLOCK qui emploie le chiffrement AES/RSA et ajoute l’extension .x2anylock aux fichiers compromis. Le malware intègre des mécanismes de chargement de DLL et utilise une clé XOR codée en dur ‘VHBD@H’. ...

ProPublica a rapporté que Microsoft a été ciblé par des hackers soutenus par l’État chinois exploitant des vulnérabilités dans SharePoint, un logiciel de collaboration largement utilisé, pour accéder aux systèmes informatiques de centaines d’entreprises et d’agences gouvernementales américaines, y compris la National Nuclear Security Administration et le Department of Homeland Security. Microsoft a reconnu que le support de SharePoint est assuré par une équipe d’ingénieurs basée en Chine, ce qui suscite des inquiétudes quant à la sécurité, étant donné que les lois chinoises permettent aux autorités de collecter des données. Bien que Microsoft ait déclaré que cette équipe est supervisée par un ingénieur basé aux États-Unis, des experts soulignent les risques de sécurité majeurs associés à cette pratique. ...

Selon un article de The Register, une vulnérabilité zero-day a été exploitée dans Microsoft SharePoint, malgré les correctifs de sécurité publiés par Microsoft. Cette exploitation a été rendue possible par une fuite d’informations concernant les vulnérabilités, permettant à des acteurs malveillants, y compris des espions chinois et des opérateurs de ransomware, de contourner les correctifs. L’incident a débuté lors de la compétition Pwn2Own à Berlin, où un chercheur vietnamien a démontré une exploitation réussie de SharePoint, remportant 100 000 $. Microsoft a reçu un rapport détaillé de l’exploit, mais les vulnérabilités ont été divulguées avant que les correctifs ne soient pleinement efficaces. ...

Eye Security a découvert une vulnérabilité 0-day critique dans SharePoint, identifiée comme CVE-2025-53770 et CVE-2025-53771, permettant une exécution de code à distance (RCE) sans authentification. Cette faille a été exploitée à grande échelle, compromettant plus de 400 systèmes à travers plusieurs vagues d’attaques. Les attaques ont commencé le 17 juillet 2025, avec une première vague détectée à partir de l’adresse IP 96.9.125[.]147. Les vagues suivantes ont été observées les 18, 19, et 21 juillet, avec des scripts d’exploitation publiés sur GitHub. Microsoft a publié des correctifs pour les versions vulnérables de SharePoint Server 2016/2019, mais les versions plus anciennes restent vulnérables. ...