مایکروسافت اعلام کرد که یک گروه هکری که آن را با نام Storm-2603 ردیابی می‌کند، در حال سوءاستفاده از آسیب‌پذیری‌های حیاتی در پلتفرم شیرپوینت این شرکت برای استقرار باج‌افزار است.

شیرپوینت طبق وب‌سایت مایکروسافت، “یک پلتفرم مدیریت محتوا و همکاری امن و سازمانی” است که همچنین آن را راهی برای “همکاری، همگام‌سازی و اشتراک‌گذاری امن محتوا” توصیف می‌کند. (اساساً: سازمان‌ها از آن برای ساخت سایت‌هایی که از طریق اینترانت‌هایشان قابل دسترسی هستند، استفاده می‌کنند.) اما این تضمین‌های امنیتی آن با گزارش‌هایی مبنی بر سوءاستفاده گروه‌های متعدد از آسیب‌پذیری‌های فراوان در این پلتفرم تضعیف شده است.

مایکروسافت در 19 ژوئیه اعلام کرد که “از حملات فعال علیه مشتریان SharePoint Server محلی با سوءاستفاده از آسیب‌پذیری‌هایی که تا حدی توسط به‌روزرسانی امنیتی ژوئیه رفع شده‌اند، آگاه است.” اکنون این آسیب‌پذیری‌ها – از جمله CVE-2025-49704، CVE-2025-49706، و دور زدن‌های وصله‌های منتشر شده برای رفع آن‌ها، CVE-2025-53770 و CVE-2025-53771 – برای استقرار باج‌افزار وارلاک استفاده می‌شوند.

تیم اطلاعات تهدید این شرکت در 22 ژوئیه اعلام کرد که “دو عامل دولتی چینی به نام‌های Linen Typhoon و Violet Typhoon را مشاهده کرده است که از این آسیب‌پذیری‌ها سرورهای شیرپوینت متصل به اینترنت را هدف قرار داده‌اند.” این گزارش در 23 ژوئیه به‌روزرسانی شد تا اعلام کند که “یک عامل تهدیدکننده دیگر مستقر در چین، با نام Storm-2603، در حال سوءاستفاده از این آسیب‌پذیری‌ها برای استقرار باج‌افزار مشاهده شده است.”

مایکروسافت شناسه‌هایی را به گروه‌های هکری با پسوندهایی بر اساس کشور مبدأ آن‌ها (چین Typhoon، کره شمالی Sleet و غیره)، و همچنین ماهیت فعالیت آن‌ها (عملیات نفوذ Flood و گروه‌های با انگیزه مالی Tempest) و سایر عوامل اختصاص می‌دهد. گروه‌های “در حال توسعه” پیشوند Storm را به دنبال یک توالی عددی دریافت می‌کنند؛ در این مورد، شناسه حاصل Storm-2603 است.

این شرکت گفت: “گروهی که مایکروسافت آن را با نام Storm-2603 ردیابی می‌کند، با اطمینان متوسط یک عامل تهدیدکننده مستقر در چین ارزیابی می‌شود.” “مایکروسافت ارتباطی بین Storm-2603 و سایر عوامل تهدیدکننده شناخته شده چینی شناسایی نکرده است. مایکروسافت این عامل تهدیدکننده را در ارتباط با تلاش‌ها برای سرقت MachineKeys با استفاده از آسیب‌پذیری‌های شیرپوینت محلی ردیابی می‌کند. اگرچه مایکروسافت در گذشته استقرار باج‌افزارهای وارلاک و لاک‌بیت را توسط این عامل تهدیدکننده مشاهده کرده است، اما در حال حاضر نمی‌تواند اهداف این عامل تهدیدکننده را با اطمینان ارزیابی کند. از 18 ژوئیه 2025، مایکروسافت مشاهده کرده است که Storm-2603 با استفاده از این آسیب‌پذیری‌ها باج‌افزار مستقر می‌کند.”

بنابراین سازمان‌هایی که به شیرپوینت متکی هستند، برای کاهش خطر پیوستن به لیست قربانیان Storm-2603 چه باید بکنند؟ متأسفانه، راه‌حل یک کلیکی وجود ندارد – مایکروسافت گفت که آن‌ها باید اطمینان حاصل کنند که از آخرین نسخه پلتفرم استفاده می‌کنند، که برای چنین توصیه‌هایی معمول است، اما توصیه آن به نصب چند به‌روزرسانی ختم نشد. (به خصوص از آنجایی که دور زدن برخی از اصلاحات آن قبلاً پیدا شده است.)

مایکروسافت گفت: “برای جلوگیری از حملات بدون احراز هویت که از این آسیب‌پذیری سوءاستفاده می‌کنند، مشتریان باید رابط اسکن بدافزار (AMSI) و آنتی‌ویروس مایکروسافت دیفندر (یا راه‌حل‌های معادل) را برای تمام استقرارهای شیرپوینت محلی یکپارچه و فعال کنند و AMSI را برای فعال کردن حالت کامل پیکربندی کنند. مشتریان همچنین باید کلیدهای ماشین ASP.NET سرور شیرپوینت را بچرخانند، سرویس‌های اطلاعات اینترنتی (IIS) را مجدداً راه‌اندازی کنند و مایکروسافت دیفندر برای نقطه پایانی یا راه‌حل‌های معادل را مستقر کنند.”

انتظار می‌رود با ادامه تحقیقات مایکروسافت، اطلاعات بیشتری در مورد Storm-2603، سازمان‌هایی که تحت تأثیر این آسیب‌پذیری‌ها قرار گرفته‌اند و موارد دیگر به دست آید.