Lühidalt: Kahe sõltumatu ransomware’i rühma paralleelne tegevus samadel SharePoint-serveritel näitab, et ründajad viivad järjest enam kattuvaid kampaaniaid läbi, mis nõuavad keskset nähtavust kõigil tasanditel.
Microsofti intsident-reageerimise meeskond (DART) dokumenteeris, et kaks sõltumatut ründajat kompromiteerisid paralleelselt sama ettevõtte lokaalset SharePoint-serverit. Rünnakud esindavad uut kvaliteedi taset: kattuvad kampaniad muudavad avastamise märkimisväärselt raskemaks.
Mitmetasandilise sissetungi uurimisel tegi Microsofti DART kindlaks, et kaks üksteisest sõltumatut ohutegeijat olid samaaegselt aktiivsed samas süsteemikeskkonnas. Esimene rühm, mille Microsofti identifitseeris kui Storm-2603, suunab alates 2025. aasta keskpaigast sihipäraselt rünnakuid lokaalsetele SharePoint-serveritest, kasutades teadaolevaid dokumenteeritud turvaaukusid, millele on juba saadaval paigaldused. Teise kahjustatud organisatsiooni analüüsimisel näitas sama rühma olemasolu.
Teine, sellega mitteseotud ründaja kasutas teist metodoloogiat: turvaanalüütikud leidsid DLL-sideloading’i jälgi. See tehnika kuritarvitseb legitiimseid, usaldusväärseid tarkvarakomponente, et sisestada pahatahtlikku koodi täitmist või takaukseid ilma standardsete häireolekuteta. Mõlema toime paralleelne tegevus muutis avastamise märkimisväärselt raskemaks. Microsoft selgitab: „Kaks erinevat ohutegevuse aktiveerimise voogu tegutselesid paralleelselt ja mitte järjestikku, mis muutis nende isoleeritud avastamise raskemaks.” Ainult identiteedi-, lõpp-punkti- ja pilvetelemetriaandmete koondamine võimaldas täielikku situatsiooni pilti.
Leiud näitavad SharePoint-haldurite ohu maastiku nihkumist. Kaasaegsed rünnakud pole enam isoleeritud sündmused, vaid võivad olla kattuvad kampaniad, mis nõuavad koordineeritud nähtavust ja reageerimist. Uuringuraport ei sisalda andmeid konkreetsete andmekadude või kahjusummade kohta.
Microsoft soovitab vahetus meetmena vastu võtta viivitamatu turvavarustuste paigaldamine kõikidele interneti-ühendusega süsteemidele. Lisaks nõutakse privileegide kasutajate kontode intensiivsema jälgimise, laiaulatuslike lõpp-punkti kaitse lahenduste rakendamise enne juhtumeid ja seire koordineerimist pilve- ja lokaalses infrastruktuuri ulatuses.
Allikas: www.it-daily.net · Avaldatud 26. juuni 2026
Lumi AI News — KI-abiline kuraatorimine vastavalt EU AI Akti artiklile 50. Parafraseerimine ja klassifikatsioon Lumi News Pipeline v1.7.1 abil.