Cảnh báo tin tặc Trung Quốc khai thác lỗ hổng Sharepoint ToolShell trên diện rộng

Lỗ hổng bảo mật này ảnh hưởng đến các máy chủ SharePoint on-premise và được phát hiện là lỗ hổng zero-day đang bị khai thác tích cực vào ngày 20/7, sau khi nhiều nhóm tin tặc có liên quan đến Trung Quốc lợi dụng nó trong các cuộc tấn công trên diện rộng. Microsoft đã phát hành bản cập nhật khẩn cấp vào ngay sau đó.

Sự cố này thực tế là một lỗ hổng bảo mật bypass CVE-2025-49706 và CVE-2025-49704 - hai lỗ hổng mà các nhà nghiên cứu của Công ty an ninh mạng Viettel (VCS) đã trình diễn tại cuộc thi hack Pwn2Own Berlin vào tháng 5/2025, có thể bị khai thác từ xa mà không cần xác thực để thực thi mã và truy cập đầy đủ vào hệ thống tệp.

Microsoft trước đây đã chia sẻ rằng ToolShell đã bị ba nhóm tin tặc Trung Quốc khai thác, gồm Budworm/Linen Typhoon, Sheathminer/Violet Typhoon và Storm-2603/Warlock ransomware. Trong báo cáo ngày 22/10, Công ty an ninh mạng Symantec cho biết, lỗ hổng ToolShell được sử dụng để xâm nhập vào nhiều tổ chức khác nhau ở Trung Đông, Nam Mỹ, châu Phi và Mỹ. Các chiến dịch này sử dụng phần mềm độc hại thường liên quan đến tin tặc Salt Typhoon.

Theo Symantec, lỗ hổng CVE-2025-53770 bị khai thác để cài webshell cho phép truy cập liên tục. Tiếp theo là việc sử dụng kỹ thuật DLL sideloading để nhúng một backdoor dựa trên Go có tên là Zingdoor, với những khả năng như thu thập thông tin hệ thống, thực hiện các thao tác tệp và cũng tạo điều kiện thực hiện lệnh từ xa.

Sau đó, một bước sideloading khác đã khởi chạy Trojan ShadowPad, các nhà nghiên cứu cho biết rằng hành động này được thực hiện sau khi nhúng KrustyLoader dựa trên Rust, công cụ cuối cùng triển khai framework khai thác mã nguồn mở Sliver. Đáng chú ý, kỹ thuật sideloading được thực hiện bằng các tệp thực thi hợp lệ của Trend Micro và BitDefender. Đối với các cuộc tấn công ở Nam Mỹ, kẻ tấn công sử dụng một tệp có tên tương tự như Symantec.

Tiếp theo, tin tặc tiến hành đánh cắp thông tin đăng nhập thông qua ProcDump, Minidump và LsassDumper, đồng thời lợi dụng lỗ hổng PetitPotam (CVE-2021-36942) để xâm phạm tên miền.

Các nhà nghiên cứu lưu ý, danh sách các công cụ công khai và sẵn có được sử dụng trong các cuộc tấn công bao gồm tiện ích Certutil của Microsoft, GoGo Scanner (một công cụ quét của nhóm redteam) và tiện ích Revsocks cho phép đánh cắp dữ liệu, chỉ huy và kiểm soát cũng như duy trì dữ liệu trên thiết bị bị xâm phạm.

Symantec cho biết những phát hiện của họ chỉ ra rằng lỗ hổng ToolShell đã bị một nhóm tin tặc Trung Quốc khai thác với tần suất nhiều hơn so với trước đây.