Hackers Groep uit China Richt Warlock Ransomware op Microsoft SharePoint Servers

Een hackersgroep uit China gebruikt Warlock-ransomware om kwetsbare Microsoft SharePoint-servers aan te vallen. Deze servers zijn vatbaar voor de recent aangepakte ToolShell zero-day exploitketen.

De non-profit beveiligingsorganisatie Shadowserver houdt momenteel meer dan 420 SharePoint-servers bij die online kwetsbaar zijn voor deze aanvallen.

"Hoewel Microsoft eerder heeft waargenomen dat deze groep Warlock en Lockbit-ransomware inzet, kan het bedrijf op dit moment de doelen van de dreigingsactor niet met zekerheid beoordelen," aldus Microsoft in een rapport van afgelopen woensdag.

“Sinds 18 juli 2025 heeft Microsoft geconstateerd dat Storm-2603 ransomware verspreidt via deze kwetsbaarheden.”

Na het binnendringen van de netwerken van slachtoffers gebruiken de Storm-2603-operators de hacktool Mimikatz om wachtwoorden in leesbare tekst uit het LSASS-geheugen te halen.

Vervolgens verplaatsen ze zich zijwaarts met PsExec en de Impacket-toolkit. Ze voeren opdrachten uit via Windows Management Instrumentation (WMI) en passen Groepsbeleidsobjecten (GPO’s) aan om Warlock ransomware over geïnfecteerde systemen te verspreiden.

Microsoft waarschuwde ook: "Klanten moeten onmiddellijk de beveiligingsupdates voor SharePoint Server on-premises toepassen en de gedetailleerde mitigatierichtlijnen in onze blog volgen."

Aanvallen Gelinkt aan Chinese Hackersgroepen

Onderzoekers van Microsoft Threat Intelligence hebben deze aanvallen gelinkt aan de door de staat gesteunde Chinese hackersgroepen Linen Typhoon en Violet Typhoon, kort nadat het Nederlandse cybersecuritybedrijf Eye Security de zero-day aanvallen op de CVE-2025-49706 en CVE-2025-49704 kwetsbaarheden had gedetecteerd.

Sindsdien heeft Eye Security CTO Piet Kerkhofs aan BleepingComputer gemeld dat het aantal getroffen entiteiten veel groter is, waarbij "de meeste al enige tijd zijn gecompromitteerd." Volgens de cijfers van het cybersecuritybedrijf hebben de aanvallers tot nu toe minstens 400 servers geïnfecteerd en 148 organisaties wereldwijd aangetast.

CISA heeft ook de CVE-2025-53770 remote code execution-kwetsbaarheid, onderdeel van dezelfde ToolShell exploitketen, toegevoegd aan zijn catalogus van kwetsbaarheden die in het wild worden misbruikt. Amerikaanse federale agentschappen kregen de opdracht hun systemen binnen een dag te beveiligen.

Breuken bij Amerikaanse Overheidsinstanties

Eerder deze week bevestigde het Department of Energy dat de National Nuclear Security Administration (het Amerikaanse nucleaire wapenagentschap) ook geraakt is door de voortdurende Microsoft SharePoint-aanvallen, hoewel er nog geen bewijs is dat gevoelige of geclassificeerde informatie in gevaar is gebracht.

Bloomberg meldde dat de aanvallers ook systemen hebben gehackt van het Amerikaanse ministerie van Onderwijs, de Algemene Vergadering van Rhode Island en het Departement van Belastingen van Florida, evenals netwerken van Europese en Midden-Oosterse overheden.

Volgens de Washington Post was het National Institutes of Health (de Amerikaanse medische onderzoeksinstantie) ook een doelwit.

Opmerking: Verhaal bijgewerkt op 24 juli om 06:15 EDT om te verduidelijken dat Storm-2603 uit China komt.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.