ESET Research ha estado monitoreando ataques que involucran las vulnerabilidades de día cero de Shell recientemente descubierto

Shellshell: un buffet de todo lo que pueda comer para actores de amenazas

El 19 de julioth2025, Microsoft confirmó que un conjunto de vulnerabilidades de día cero en SharePoint Server llamado Toolshell se está explotando en la naturaleza. Toolshell está compuesta por CVE-2025-53770, una vulnerabilidad de ejecución de código remoto y CVE-2025‑53771, un servidor que falsifica la vulnerabilidad. Estos ataques apuntan a los servidores de SharePoint en las instalaciones de Microsoft, específicamente aquellos que ejecutan la edición de suscripción de SharePoint, SharePoint 2019 o SharePoint 2016. SharePoint Online en Microsoft 365 no se ve afectado. La explotación de estas vulnerabilidades permite a los actores de amenaza ingresar a los sistemas restringidos y robar información confidencial.

A partir del 17 de juliothLa cáscara de herramientas ha sido ampliamente explotada por todo tipo de actores de amenazas, desde pequeños ciberdelincuentes hasta grupos aptos de estado-nación. Dado que SharePoint está integrado con otros servicios de Microsoft, como Office, Teams, OneDrive y Outlook, este compromiso puede proporcionar a los atacantes un asombroso nivel de acceso en la red afectada.

Como parte del ataque, los actores de amenaza a menudo encadenan cuatro vulnerabilidades: el CVE-2025‑49704 y CVE-2025-49706 previamente parcheado, junto con el CVE-2025-53770 y CVE-2025-53771 ya mencionado. Al 22 de julio, CVE-2025‑53770 y CVE-2025-53771 también han sido reparados.

Cargas útiles

La explotación de herramientas permite a los atacantes omitir la autenticación multifactor (MFA) y el inicio de sesión único (SSO). Después de entrar en el servidor objetivo, se vio a los atacantes implementando webshells maliciosas para extraer información del sistema comprometido. Se nombra uno de los scripts utilizados con frecuencia para este propósito spinstall0.aspxque rastreamos como MSIL/WebShell.js.

Además, el 22 de julioDakota del Norte2025, observamos que los atacantes intentaron implementar otras redes web de ASP simples capaces de ejecutar comandos proporcionados por los atacantes a través de cmd.exe. Estas redes web se implementaron utilizando los siguientes nombres de archivo: Ghostfile346.aspx, Ghostfile399.aspx, Ghostfile807.aspx, Ghostfile972.aspxy GhostFile913.aspx.

ESET Products primero detectó un intento de explotar parte de la cadena de ejecución, la vulnerabilidad de SharePoint/Exploit.CVE-2025-49704-el 17 de julioth en Alemania. Sin embargo, debido a que este intento fue bloqueado, la carga útil final de WebShell no se entregó al sistema objetivo. La primera vez que registramos la carga útil en sí fue el 18 de julio.th en un servidor en Italia. Como se ve en la Figura 1, desde entonces hemos observado la explotación activa de la costa de herramientas en todo el mundo, siendo Estados Unidos (13.3% de los ataques) el país más dirigido según nuestros datos de telemetría.

Figura 1. Víctimas del mapa de la cáscara de herramientas
Figura 1. Distribución geográfica de los ataques de cáscara de herramientas desde el 17 de julio de 2025 hasta el 22 de julio de 2025

Monitoreo de ataques

Nuestro monitoreo de los ataques de cellina de herramientas desde el 17 de julioth al 22 de julioDakota del Norte reveló que provenían de las direcciones IP que se muestran en la Tabla 1 (todos los tiempos están en UTC).

Tabla 1. Direcciones IP del atacante

Dirección IP Fecha de inicio de ataque Fecha de finalización de ataque
96.9.125[.]147 2025-07-17 09:00 2025-07-17 16:00
107.191.58[.]76 2025-07-18 14:00 2025-07-18 20:00
104.238.159[.]149 2025-07-19 04:00 2025-07-19 09:00
139.59.11[.]66 2025-07-21 11:00 2025-07-21 16:00
154.223.19[.]106 2025-07-21 13:00 2025-07-22 18:00
103.151.172[.]92 2025-07-21 14:00 2025-07-21 16:00
45.191.66[.]77 2025-07-21 14:00 2025-07-22 07:00
83.136.182[.]237 2025-07-21 14:00 2025-07-21 16:00
162.248.74[.]92 2025-07-21 14:00 2025-07-21 17:00
38.54.106[.]11 2025-07-21 15:00 2025-07-21 15:00
206.166.251[.]228 2025-07-21 16:00 2025-07-22 16:00
45.77.155[.]170 2025-07-21 16:00 2025-07-21 19:00
64.176.50[.]109 2025-07-21 17:00 2025-07-22 17:00
149.28.17[.]188 2025-07-22 03:00 2025-07-22 03:00
173.239.247[.]32 2025-07-22 05:00 2025-07-22 05:00
109.105.193[.]76 2025-07-22 05:00 2025-07-22 16:00
2.56.190[.]139 2025-07-22 06:00 2025-07-22 07:00
141.164.60[.]10 2025-07-22 07:00 2025-07-22 18:00
124.56.42[.]75 2025-07-22 13:00 2025-07-22 18:00

La Figura 2 muestra la línea de tiempo de los ataques provenientes de las tres direcciones IP más activas.

Figura 2. Ataques de las direcciones IP más activas vistas por hora
Figura 2. Ataques de las direcciones IP más activas vistas por hora (valores cero no mostrados)

Con respecto, Microsoft ha informado que varios actores de amenaza alineados en China se han unido a los intentos de explotación. Desde nuestro lado, detectamos una puerta trasera asociada con Luckymouse, un grupo cibernético que se dirige principalmente a gobiernos, compañías de telecomunicaciones y organizaciones internacionales, en una máquina en Vietnam dirigida a través de herramientas. En esta etapa, no está claro si el sistema se había comprometido previamente o si la puerta trasera se introdujo durante el ataque actual.

Sin embargo, los grupos APT alineados por China ciertamente han aprovechado la oportunidad para agregar la cadena de exploit a sus arsenales: según nuestra telemetría, las víctimas de los ataques de la cáscara de herramientas incluyen varias organizaciones gubernamentales de alto valor que han sido objetivos de larga data de estos grupos.

Dado que el gato está fuera de la bolsa ahora, esperamos que muchos más atacantes oportunistas aprovechen los sistemas sin parpadear. Los intentos de exploit están en curso y seguramente continuarán. Por lo tanto, si está utilizando SharePoint Server, se recomienda lo siguiente (según la guía de Microsoft):

  • Use solo versiones compatibles,
  • Aplicar las últimas actualizaciones de seguridad,
  • Asegúrese de que la interfaz de escaneo de antimalware esté activada y configurada correctamente, con una solución de seguridad cibernética adecuada, y
  • Gire las claves de la máquina ASP.NET del servidor SharePoint.
Para cualquier consulta sobre nuestra investigación publicada sobre Welives -Curity, comuníquese con nosotros en amenaza a amenazas@eset.com.
ESET Research ofrece informes privados de inteligencia APT y feeds de datos. Para cualquier consulta sobre este servicio, visite la página de inteligencia de amenazas ESET.

COI

Se puede encontrar una lista completa de indicadores de compromiso (COI) y muestras en nuestro repositorio de GitHub.

Archivos

SHA-1 Nombre del archivo Detección Descripción
F5b60a8ead96703080e73A1F79C3E70F44DF271 spinstall0.aspx MSIL/WebShell.js WebShell desplegada a través de SharePoint Vulnerabilidades

Red

IP Dominio Proveedor de alojamiento Primero visto Detalles
96.9.125[.]147 N / A Redes BL 2025-07-17 Dirección IP que explota vulnerabilidades de SharePoint.
107.191.58[.]76 N / A The Constant Company, LLC 2025-07-18 Dirección IP que explota vulnerabilidades de SharePoint.
104.238.159[.]149 N / A The Constant Company, LLC 2025-07-19 Dirección IP que explota vulnerabilidades de SharePoint.
139.59.11[.]66 N / A Digitalocean, LLC 2025-07-21 Dirección IP que explota vulnerabilidades de SharePoint.
154.223.19[.]106 N / A Kaopu Cloud HK Limited 2025-07-21 Dirección IP que explota vulnerabilidades de SharePoint.
103.151.172[.]92 N / A Ikuuu Network Ltd 2025-07-21 Dirección IP que explota vulnerabilidades de SharePoint.
45.191.66[.]77 N / A Viaclip Internet y Telecommunications Ltda 2025-07-21 Dirección IP que explota vulnerabilidades de SharePoint.
83.136.182[.]237 N / A Alina Gatsianuk 2025-07-21 Dirección IP que explota vulnerabilidades de SharePoint.
162.248.74[.]92 N / A xtom gmbh 2025-07-21 Dirección IP que explota vulnerabilidades de SharePoint.
38.54.106[.]11 N / A Kaopu Cloud HK Limited 2025-07-21 Dirección IP que explota vulnerabilidades de SharePoint.
206.166.251[.]228 N / A Redes BL 2025-07-21 Dirección IP que explota vulnerabilidades de SharePoint.
45.77.155[.]170 N / A Vultr Holdings, LLC 2025-07-21 Dirección IP que explota vulnerabilidades de SharePoint.
64.176.50[.]109 N / A The Constant Company, LLC 2025-07-21 Dirección IP que explota vulnerabilidades de SharePoint.
149.28.17[.]188 N / A The Constant Company, LLC 2025-07-22 Dirección IP que explota vulnerabilidades de SharePoint.
173.239.247[.]32 N / A GSL Networks Pty Ltd 2025-07-22 Dirección IP que explota vulnerabilidades de SharePoint.
109.105.193[.]76 N / A Haruka Network Limited 2025-07-22 Dirección IP que explota vulnerabilidades de SharePoint.
2.56.190[.]139 N / A Alina Gatsianuk 2025-07-22 Dirección IP que explota vulnerabilidades de SharePoint.
141.164.60[.]10 N / A The Constant Company, LLC 2025-07-22 Dirección IP que explota vulnerabilidades de SharePoint.
124.56.42[.]75 N / A Gerente de IP 2025-07-22 Dirección IP que explota vulnerabilidades de SharePoint.

MITOR QUE Y CK TECNORAS

Esta tabla fue construida utilizando la versión 17 del marco Mitre ATT & CK.

Táctica IDENTIFICACIÓN Nombre Descripción
Acceso inicial T1190 Explotar la solicitud de orientación pública Los actores de amenaza explotaron CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 y CVE-2025-53771 para comprometer los servidores de Sharepoint de Microsoft SharePoint en las instalaciones.
Ejecución T1059.003 Comando y scripting intérprete: Windows Command Shell Las WebShells implementadas ejecutan comandos suministrados por el atacante a través de cmd.exe.
Persistencia T1505.003 Componente del software del servidor: Web Shell Los actores de amenaza implementaron redes web en servidores comprometidos.
Recopilación T1005 Datos del sistema local Las redes web implementadas permiten a los atacantes extraer información de los sistemas comprometidos.



Source link

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí