กลุ่มแฮ็กเกอร์ที่คาดว่ามีความเชื่อมโยงกับประเทศจีน ถูกพบว่ากำลังโจมตีโดยใช้ช่องโหว่ ToolShell (CVE-2025-53770) ในระบบ Microsoft SharePoint เพื่อโจมตีหน่วยงานภาครัฐ, สถาบันการศึกษา, ผู้ให้บริการโทรคมนาคม และองค์กรทางการเงิน
ช่องโหว่ด้านความปลอดภัยนี้ส่งผลกระทบต่อเซิร์ฟเวอร์ SharePoint ภายในองค์กร (on-premise) และถูกเปิดเผยว่าเป็นช่องโหว่แบบ zero-day ที่ถูกใช้ในการโจมตีจริงเมื่อวันที่ 20 กรกฎาคม 2025 หลังจากมีกลุ่มแฮ็กเกอร์หลายกลุ่มที่เชื่อมโยงกับจีนทำการโจมตีอย่างแพร่หลาย ทำให้ Microsoft ได้ปล่อยอัปเดตฉุกเฉินในวันถัดมา
ช่องโหว่นี้เป็นการ bypass ช่องโหว่ CVE-2025-49706 และ CVE-2025-49704 ซึ่งเป็นสองช่องโหว่ที่นักวิจัยจาก Viettel Cyber Security ได้สาธิตในการแข่งขันแฮ็ก Pwn2Own Berlin เมื่อเดือนพฤษภาคม และสามารถถูกโจมตีจากภายนอกได้โดยไม่ต้องผ่านการยืนยันตัวตนเพื่อรันโค้ดที่เป็นอันตราย และเข้าถึงระบบไฟล์ทั้งหมดได้
ก่อนหน้านี้ Microsoft เปิดเผยว่า ช่องโหว่ ToolShell ถูกนำไปใช้โดยกลุ่มแฮ็กเกอร์จากจีนสามกลุ่ม ได้แก่ Budworm หรือ Linen Typhoon, Sheathminer หรือ Violet Typhoon และ Storm-2603 หรือที่รู้จักในชื่อ Warlock ransomware
Symantec ซึ่งเป็นบริษัทในเครือของ Broadcom ได้เปิดเผยรายงานเมื่อวันที่ 22 ตุลาคม 2025 ระบุว่า ช่องโหว่ ToolShell ถูกนำมาใช้ในการโจมตี และขโมยข้อมูลจากหลายองค์กรใน 4 ทวีป ได้แก่ ตะวันออกกลาง, อเมริกาใต้, สหรัฐอเมริกา และแอฟริกา โดยแคมเปญการโจมตีเหล่านี้ส่วนใหญ่ใช้มัลแวร์ที่เชื่อมโยงกับกลุ่มแฮ็กเกอร์ชาวจีนชื่อ Salt Typhoon และได้ส่งผลกระทบต่อเป้าหมายต่าง ๆ ได้แก่:
- ผู้ให้บริการโทรคมนาคมในตะวันออกกลาง
- หน่วยงานรัฐบาลสองแห่งในประเทศแอฟริกา
- หน่วยงานรัฐบาลสองแห่งในอเมริกาใต้
- มหาวิทยาลัยแห่งหนึ่งในสหรัฐอเมริกา
- หน่วยงานเทคโนโลยีของรัฐในแอฟริกา
- หน่วยงานรัฐบาลในตะวันออกกลาง
- บริษัทด้านการเงินในยุโรป
การโจมตีที่มุ่งเป้าไปยังบริษัทโทรคมนาคม ซึ่งเป็นประเด็นหลักในรายงานของ Symantec เริ่มต้นขึ้นเมื่อวันที่ 21 กรกฎาคม 2025 โดยผู้โจมตีใช้ประโยชน์จากช่องโหว่ CVE-2025-53770 เพื่อฝัง webshells ลงในระบบ เปิดทางให้สามารถเข้าถึงระบบได้อย่างถาวร
หลังจากนั้นมีการใช้เทคนิค DLL side-loading เพื่อรันแบ็กดอร์ที่พัฒนาด้วยภาษา Go ชื่อว่า Zingdoor ซึ่งออกแบบมาให้สามารถรวบรวมข้อมูลระบบ จัดการไฟล์ต่าง ๆ และสั่งการจากระยะไกลได้
ต่อมา ผู้โจมตีดำเนินการ side-loading อีกครั้งเพื่อเรียกใช้สิ่งที่นักวิจัยเชื่อว่าเป็นโทรจัน ShadowPad จากนั้นได้ปล่อยเครื่องมือที่เขียนด้วยภาษา Rust ชื่อว่า KrustyLoader ซึ่งถูกใช้ในการติดตั้งเฟรมเวิร์กโอเพ่นซอร์สสำหรับการปฏิบัติการหลังการเจาะระบบ (post-exploitation framework) ที่รู้จักกันในชื่อ Sliver
ที่น่าสังเกตคือ ขั้นตอนการ side-loading ถูกดำเนินการโดยใช้ไฟล์ปฏิบัติการที่ถูกต้องของ Trend Micro และ BitDefender สำหรับการโจมตีในอเมริกาใต้ ผู้โจมตีใช้ไฟล์ที่มีลักษณะคล้ายชื่อของ Symantec
ต่อมา ผู้โจมตีได้ดำเนินการ credential dumping ผ่านเครื่องมือ ProcDump, Minidump, และ LsassDumper รวมถึงใช้ช่องโหว่ PetitPotam (CVE-2021-36942) เพื่อเข้าควบคุมโดเมน
นักวิจัยระบุว่า การโจมตีครั้งนี้มีการใช้ทั้ง Public exploit และเครื่องมือแบบ living-off-the-land หลายชนิด รวมถึง Certutil utility ของ Microsoft, GoGo Scanner เอนจินสำหรับ red-team และ Revsocks utility ซึ่งช่วยให้ผู้โจมตีสามารถขโมยข้อมูลออกไปภายนอก (data exfiltration), เชื่อมต่อกับ command-and-control server และรักษาการเข้าถึงอุปกรณ์ที่ถูกเจาะไว้อย่างต่อเนื่อง
Symantec ระบุว่า ข้อมูลที่ค้นพบแสดงให้เห็นว่า ช่องโหว่ ToolShell ถูกใช้ประโยชน์โดยกลุ่มแฮ็กเกอร์จากจีนจำนวนมากกว่าที่เคยพบมาก่อน
ที่มา: bleepingcomputer
You must be logged in to post a comment.