พบกลุ่ม Ransomware กำลังมุ่งเป้าโจมตี Microsoft SharePoint servers โดยกำหนดเป้าหมายการโจมตีไปที่ช่องโหว่ของ Microsoft SharePoint ซึ่งเป็นส่วนหนึ่งของแคมเปญการโจมตีที่เกิดขึ้นในปัจจุบัน ส่งผลให้เกิดการโจมตีองค์กรกว่า 148 แห่งทั่วโลก
นักวิจัยด้านความปลอดภัยที่ Unit 42 ของ Palo Alto Networks พบ Ransomware รูปแบบ 4L4MD4R ที่สร้างขึ้นจาก open-source Mauri870 code ขณะวิเคราะห์เหตุการณ์ที่เกี่ยวข้องกับการโจมตี SharePoint exploit chain (เรียกว่า "ToolShell") ซึ่งตรวจพบ Ransomwareในวันที่ 27 กรกฎาคม 2025 หลังจากค้นพบ malware loader ที่ดาวน์โหลด และเรียกใช้ Ransomware จาก theinnovationfactory[.]it (145.239.97[.]206)
จากการวิเคราะห์ 4L4MD4R payload พบว่ามี UPX-packed และเขียนด้วยภาษา GoLang เมื่อดำเนินการ มัลแวร์จะ decrypts AES-encrypted payload ในหน่วยความจำ และจัดสรรหน่วยความจำเพื่อโหลด decrypted PE file และสร้างเธรดใหม่เพื่อดำเนินการโจมตี
โดย 4L4MD4R Ransomware จะเข้ารหัสไฟล์บนระบบที่ถูกโจมตี และเรียกร้องเงิน 0.005 Bitcoin โดยสร้างบันทึกเรียกค่าไถ่ และรายการไฟล์ที่เข้ารหัสบนระบบที่ถูกโจมตี
นอกจากนี้ Microsoft และ Google ยังได้เชื่อมโยงการโจมตี ToolShell เข้ากับกลุ่ม Hacker ชาวจีน โดยนักวิจัยด้านความปลอดภัยของ Microsoft ได้ระบุชื่อกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลจีน 3 กลุ่ม ได้แก่ Linen Typhoon, Violet Typhoon และ Storm-2603
จนถึงปัจจุบันมีเป้าหมายที่มีชื่อเสียงจำนวนมากที่ถูกโจมตีในแคมเปญที่กำลังดำเนินอยู่นี้ รวมถึงสำนักงานความมั่นคงด้านนิวเคลียร์แห่งชาติของสหรัฐฯ, กระทรวงศึกษาธิการ กรมรายได้ของรัฐฟลอริดา, สมัชชาใหญ่ของรัฐโรดไอแลนด์ และเครือข่ายรัฐบาลในยุโรป และตะวันออกกลาง
ขะนี้ Microsoft ได้แก้ไขช่องโหว่งทั้ง 2 รายการด้วยการอัปเดต Patch Tuesday ประจำเดือนกรกฎาคม 2025 และกำหนด CVE ID ใหม่ 2 รหัส (CVE-2025-53770 และ CVE-2025-53771) สำหรับ zero-day ที่ถูกใช้เพื่อโจมตี Microsoft SharePoint servers ที่อัปเดตแพตซ์ไปแล้วอีกรอบหนึ่ง
Piet Kerkhofs ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของบริษัท Eye Security ได้รายงานว่า พบระบบที่ถูกโจมตีจากช่องโหว่ดังกล่าว อย่างน้อย 400 เครื่องในเครือข่ายขององค์กรอย่างน้อย 148 แห่ง ซึ่งหลายองค์กรได้รับผลกระทบมาเป็นเวลานานแล้ว
ก่อนหน้านี้ หน่วยงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ได้เพิ่มช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล CVE-2025-53770 ซึ่งเป็นส่วนหนึ่งของกลุ่มการโจมตี ToolShell เข้าในรายการช่องโหว่ที่กำลังถูกโจมตี และสั่งให้หน่วยงานของรัฐบาลกลางรักษาความปลอดภัยระบบของตนภายใน 24 ชั่วโมงทันที
ที่มา : bleepingcomputer
You must be logged in to post a comment.