แคมเปญการโจมตีทางไซเบอร์ที่ซับซ้อนซึ่งมุ่งเป้าไปที่เซิร์ฟเวอร์ Microsoft SharePoint ได้บุกรุกองค์กรทั่วโลกกว่า 100 แห่ง โดยมี US National Nuclear Security Administration เป็นหนึ่งในเหยื่อที่ได้รับการยืนยัน การโจมตีครั้งนี้ซึ่งมีการระบุว่าเป็นฝีมือของกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน ได้ใช้ประโยชน์จากช่องโหว่วิกฤตใน SharePoint ที่ติดตั้งภายในองค์กรเพื่อเข้าถึงโดยไม่ได้รับอนุญาตและสร้างจุดยึดที่คงทนภายในเครือข่ายเป้าหมาย
 |
|---|
| ป้ายที่วิทยาเขตองค์กร Microsoft ใน Redmond, Washington ซึ่งแสดงถึงแหล่งที่มาของช่องโหว่ซอฟต์แวร์ที่ถูกใช้ประโยชน์ในการโจมตีทางไซเบอร์ครั้งล่าสุด |
ช่องโหว่วิกฤตเปิดทางให้การบุกรุกอย่างกว้างขวาง
แคมเปญการโจมตีนี้มีจุดศูนย์กลางอยู่ที่การใช้ประโยชน์จาก CVE-2025-53770 ซึ่งเป็นช่องโหว่วิกฤตในการรันโค้ดระยะไกลใน SharePoint Server ที่มีคะแนน CVSS อยู่ที่ 9.8 ช่องโหว่ deserialization นี้ช่วยให้ผู้โจมตีสามารถส่งคำขอที่ถูกสร้างขึ้นเป็นพิเศษเพื่อรันโค้ดตามต้องการบนระบบที่มีช่องโหว่ ความรุนแรงของช่องโหว่นี้ยิ่งทวีความรุนแรงขึ้นเมื่อผู้โจมตีเชื่อมโยงมันกับการใช้ประโยชน์เพิ่มเติม รวมถึง CVE-2025-49704 และ CVE-2025-49706 เพื่อหลีกเลี่ยงแพตช์ความปลอดภัยที่ Microsoft ปล่อยออกมาในเดือนพฤษภาคม 2025
ช่องโหว่ที่ได้รับผลกระทบ:
- CVE-2025-53770: ช่องโหว่การดำเนินโค้ดระยะไกลระดับวิกฤต (CVSS 9.8)
- CVE-2025-49704: การโจมตีแบบเชื่อมโซ่ที่ใช้เพื่อหลีกเลี่ยงการแก้ไข
- CVE-2025-49706: ช่องโหว่เพิ่มเติมที่ใช้ในห่วงโซ่การโจมตี
นักแสดงภัยคุกคามจีนใช้มัลแวร์ขั้นสูง
ทีม Threat Intelligence ของ Microsoft ได้ระบุอย่างเป็นทางการว่าแคมเปญนี้เป็นฝีมือของนักแสดงภัยคุกคามหลายกลุ่มที่มีฐานอยู่ในจีน รวมถึง Linen Typhoon, Violet Typhoon และ Storm-2603 กลุ่มเหล่านี้ได้ใช้ ToolShell เวอร์ชันที่ปรับปรุงแล้ว ซึ่งเป็นโทรจันการเข้าถึงระยะไกลที่เคยเชื่อมโยงกับการดำเนินการสอดแนมของจีนมาก่อน มัลแวร์นี้รวมเข้ากับเวิร์กโฟลว์ของ SharePoint ได้อย่างราบรื่น ทำให้ผู้โจมตีสามารถผสมผสานกับการรับส่งข้อมูลเครือข่ายที่ถูกต้องตามกฎหมายในขณะที่รักษาการเข้าถึงที่คงทนสำหรับการดำเนินการในอนาคต
ผู้คุกคามที่ระบุตัวตน:
- Linen Typhoon: กลุ่มที่มีฐานในจีนซึ่งมีประวัติการขโมยทรัพย์สินทางปัญญาและการสอดแนม
- Violet Typhoon: ผู้คุกคามที่ได้รับการสนับสนุนจากรัฐจีนซึ่งมุ่งเป้าไปที่รัฐบาลและทหาร
- Storm-2603: ผู้คุกคามที่เชื่อมโยงกับจีน (การระบุตัวตนด้วยความเชื่อมั่นระดับปานกลาง)
เป้าหมายระดับสูงรวมถึงโครงสร้างพื้นฐานสำคัญ
ขอบเขตของการบุกรุกขยายไปไกลกว่าเป้าหมายองค์กรทั่วไป ตามรายงานของ Bloomberg แฮกเกอร์ได้บุกรุก US National Nuclear Security Administration สำเร็จ ซึ่งเป็นหน่วยงานของรัฐบาลกลางที่รับผิดชอบในการจัดการคลังอาวุธนิวเคลียร์ของอเมริกาและระบบขับเคลื่อนเรือดำน้ำ แม้ว่าเจ้าหน้าที่จะยืนยันว่าไม่มีข้อมูลที่ละเอียดอ่อนหรือลับถูกบุกรุก แต่เหตุการณ์นี้เน้นย้ำถึงการมุ่งเน้นของแคมเปญต่อโครงสร้างพื้นฐานสำคัญและหน่วยงานรัฐบาล Shadowserver Foundation รายงานว่าองค์กรที่ได้รับผลกระทบส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกาและเยอรมนี ครอบคลุมหน่วยงานรัฐบาล สถาบันการศึกษา และบริษัทพลังงาน
การแพตช์พิสูจน์แล้วว่าไม่เพียงพอต่อภัยคุกคามที่คงทน
แคมเปญเริ่มต้นตั้งแต่ช่วงต้นเดือนเมษายน 2025 โดยผู้โจมตีบางรายได้รับการเข้าถึงก่อนที่แพตช์จะพร้อมใช้งาน แม้หลังจากที่ Microsoft ปล่อยอัปเดตความปลอดภัยแล้ว ระบบที่ถูกบุกรุกจำนวนมากยังคงมีช่องโหว่เนื่องจากความสามารถของผู้โจมตีในการรักษาความคงทนผ่านเครื่องมือเพิ่มเติมและเทคนิคการเคลื่อนไหวด้านข้าง ผู้เชี่ยวชาญด้านความปลอดภัยเน้นย้ำว่าเหตุการณ์นี้แสดงให้เห็นว่าการแพตช์เพียงอย่างเดียวไม่สามารถจัดการกับการโจมตีของรัฐชาติที่ซับซ้อนซึ่งสร้างจุดยึดเครือข่ายที่ลึก
ไทม์ไลน์การโจมตี:
- เมษายน 2025: แคมเปญเริ่มต้นขึ้น
- พฤษภาคม 2025: Microsoft ปล่อยแพตช์ความปลอดภัยเบื้องต้น
- กรกฎาคม 2025: Microsoft ยืนยันการระบุตัวตนและปล่อยการวิเคราะห์โดยละเอียด
- องค์กรกว่า 100 แห่งทั่วโลกถูกบุกรุก
ภูมิทัศน์ภัยคุกคามที่ขยายตัวสร้างความกังวล
Charles Carmakal หัวหน้าเจ้าหน้าที่เทคโนโลยีของ Mandiant Consulting ที่ Google Cloud เตือนว่าภัยคุกคามได้พัฒนาไปเกินกว่าต้นกำเนิดจีนในตอนแรก นักแสดงภัยคุกคามหลายรายกำลังใช้ประโยชน์จากช่องโหว่เหล่านี้อย่างแข็งขัน โดยช่วงเวลาระหว่างการค้นพบโดยรัฐที่ให้การสนับสนุนและการนำไปใช้อย่างกว้างขวางโดยอาชญากรกำลังลดลงอย่างรวดเร็ว แนวโน้มนี้ชี้ให้เห็นว่าองค์กรทั่วโลกกำลังเผชิญกับภูมิทัศน์ภัยคุกคามที่ขยายตัวและหลากหลายมากขึ้นซึ่งมุ่งเป้าไปที่การใช้งาน SharePoint
จำเป็นต้องมีการตอบสนองอย่างครอบคลุม
Microsoft แนะนำให้ดำเนินการทันทีสำหรับองค์กรที่ใช้เซิร์ฟเวอร์ SharePoint ภายในองค์กร ขั้นตอนสำคัญรวมถึงการตรวจสอบและแยกระบบ SharePoint โดยเฉพาะอย่างยิ่งที่มีการเปิดรับจากภายนอก และการใช้การตรวจสอบอย่างครอบคลุมสำหรับพฤติกรรมเครือข่ายที่ผิดปกติ องค์กรยังต้องเปิดใช้งาน Microsoft Defender Antivirus หรือโซลูชันที่เทียบเท่า กำหนดค่า Antimalware Scan Interface ในโหมดเต็ม และหมุนเวียน ASP.NET machine keys ของเซิร์ฟเวอร์ SharePoint พร้อมกับรีสตาร์ท Internet Information Services
มาตรการรักษาความปลอดภัยที่แนะนำ:
- ติดตั้งการอัปเดตความปลอดภัยของ SharePoint ทันที
- เปิดใช้งาน Antimalware Scan Interface (AMSI) ในโหมดเต็ม
- ติดตั้ง Microsoft Defender for Endpoint หรือเทียบเท่า
- หมุนเวียน machine keys ของ ASP.NET ในเซิร์ฟเวอร์ SharePoint
- รีสตาร์ท Internet Information Services (IIS)
- ตรวจสอบและแยกเซิร์ฟเวอร์ SharePoint ที่เปิดให้เข้าถึงจากภายนอก
ผลกระทบต่อกลยุทธ์ความปลอดภัยแบบไฮบริด
แคมเปญนี้เปิดเผยช่องโหว่ที่สำคัญในสภาพแวดล้อม IT แบบไฮบริดที่ระบบเดิมภายในองค์กรอยู่ร่วมกับการใช้งานคลาวด์ นักกลยุทธ์ด้านความปลอดภัย Gabrielle Hempel จาก Exabeam สังเกตเห็นความคล้ายคลึงที่ชัดเจนกับการโจมตีเซิร์ฟเวอร์ Exchange ในปี 2021 โดยเน้นย้ำว่าการใช้งานที่โฮสต์เองยังคงเป็นเป้าหมายที่น่าสนใจเนื่องจากความล่าช้าในการแพตช์และการควบคุมการเข้าถึงที่ไม่เพียงพอ เหตุการณ์นี้เน้นย้ำถึงความจำเป็นสำหรับองค์กรในการคิดใหม่เกี่ยวกับแนวทางการรักษาความปลอดภัยสภาพแวดล้อมไฮบริดให้เกินกว่าการป้องกันที่มุ่งเน้นขอบเขตแบบดั้งเดิม