LONDON (IT BOLTWISE) – Eine chinesische Hackergruppe nutzt Schwachstellen in Microsoft SharePoint-Servern, um die Warlock-Ransomware zu verbreiten.
Eine chinesische Hackergruppe hat begonnen, die Warlock-Ransomware auf Microsoft SharePoint-Servern zu verbreiten, die für Angriffe auf die kürzlich gepatchte ToolShell Zero-Day-Exploit-Kette anfällig sind. Die Sicherheitsorganisation Shadowserver überwacht derzeit über 420 SharePoint-Server, die online exponiert und weiterhin anfällig für diese Angriffe sind. Microsoft hat in der Vergangenheit beobachtet, dass dieser Bedrohungsakteur Warlock und Lockbit-Ransomware einsetzt, kann jedoch derzeit die Ziele des Akteurs nicht sicher einschätzen. Seit dem 18. Juli 2025 hat Microsoft festgestellt, dass Storm-2603 Ransomware über diese Schwachstellen einsetzt. Nach dem Eindringen in die Netzwerke der Opfer verwenden die Betreiber von Storm-2603 das Hacking-Tool Mimikatz, um Klartext-Anmeldeinformationen aus dem LSASS-Speicher zu extrahieren. Anschließend bewegen sie sich seitlich mit PsExec und dem Impacket-Toolkit, führen Befehle über Windows Management Instrumentation (WMI) aus und ändern Gruppenrichtlinienobjekte (GPOs), um Warlock-Ransomware auf kompromittierten Systemen zu verbreiten. Microsoft warnt Kunden, die Sicherheitsupdates für SharePoint Server vor Ort sofort anzuwenden und die detaillierten Minderungshinweise in ihrem Blog zu befolgen. Microsoft Threat Intelligence Forscher haben auch die chinesischen, staatlich unterstützten Hacking-Gruppen Linen Typhoon und Violet Typhoon mit diesen Angriffen in Verbindung gebracht, Tage nachdem das niederländische Cybersicherheitsunternehmen Eye Security erstmals Zero-Day-Angriffe entdeckt hatte, die die Schwachstellen CVE-2025-49706 und CVE-2025-49704 ausnutzen. Seitdem hat Eye Security CTO Piet Kerkhofs gegenüber BleepingComputer erklärt, dass die Anzahl der kompromittierten Entitäten viel größer ist, wobei die meisten von ihnen bereits seit einiger Zeit kompromittiert sind. Laut den Statistiken des Cybersicherheitsunternehmens haben die Angreifer bisher mindestens 400 Server mit Malware infiziert und 148 Organisationen weltweit kompromittiert. CISA hat auch die Remote-Code-Ausführungs-Schwachstelle CVE-2025-53770, die Teil derselben ToolShell-Exploit-Kette ist, in ihren Katalog der in freier Wildbahn ausgenutzten Schwachstellen aufgenommen und US-Bundesbehörden angewiesen, ihre Systeme innerhalb eines Tages zu sichern. Anfang dieser Woche bestätigte das Energieministerium, dass die National Nuclear Security Administration (die US-Atomwaffenbehörde) bei den laufenden Microsoft SharePoint-Angriffen kompromittiert wurde, obwohl die Behörde noch keine Beweise dafür gefunden hat, dass sensible oder geheime Informationen bei dem Vorfall kompromittiert wurden. Bloomberg berichtete, dass die Angreifer auch in Systeme des US-Bildungsministeriums, der Generalversammlung von Rhode Island und des Finanzministeriums von Florida sowie in Netzwerke europäischer und nahöstlicher Regierungen eingedrungen sind. Die Washington Post berichtete auch, dass das National Institutes of Health (die US-amerikanische medizinische Forschungsbehörde) ebenfalls kompromittiert wurde.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Promotion: KI-gestützte Effizienzsteigerung in XR-Anwendungen (m/w/d)
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
Werkstudent im Bereich KI-Entwicklung (w/m/d)
Duales Studium – Data Science und Künstliche Intelligenz (m/w/x), Beginn Herbst 2026
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Warlock-Ransomware: Chinesische Hacker nutzen SharePoint-Schwachstellen" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Warlock-Ransomware: Chinesische Hacker nutzen SharePoint-Schwachstellen" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Warlock-Ransomware: Chinesische Hacker nutzen SharePoint-Schwachstellen« bei Google Deutschland suchen, bei Bing oder Google News!