Οι χάκερ που πιστεύεται ότι σχετίζονται με την Κίνα έχουν αξιοποιήσει την ευπάθεια ToolShell (CVE-2025-53770) στο Microsoft SharePoint σε επιθέσεις που στοχεύουν κυβερνητικούς φορείς, πανεπιστήμια, παρόχους τηλεπικοινωνιακών υπηρεσιών και χρηματοοικονομικούς οργανισμούς.
Το ελάττωμα ασφαλείας επηρεάζει τους διακομιστές του SharePoint εσωτερικής εγκατάστασης και αποκαλύφθηκε ως μηδενική ημέρα με ενεργή εκμετάλλευση στις 20 Ιουλίου, αφού πολλές ομάδες hacking που συνδέονται με την Κίνα το χρησιμοποίησαν σε εκτεταμένες επιθέσεις. Η Microsoft κυκλοφόρησε ενημερώσεις έκτακτης ανάγκης την επόμενη μέρα.
Το ζήτημα είναι μια παράκαμψη για τα CVE-2025-49706 και CVE-2025-49704, δύο ελαττώματα που είχαν επιδείξει οι ερευνητές της Viettel Cyber Security στον διαγωνισμό hacking στο Pwn2Own στο Βερολίνο τον Μάιο, και μπορούν να αξιοποιηθούν εξ αποστάσεως χωρίς έλεγχο ταυτότητας για εκτέλεση κώδικα και πλήρη πρόσβαση στο σύστημα αρχείων.
Η Microsoft είχε δηλώσει προηγουμένως ότι το ToolShell έγινε αντικείμενο εκμετάλλευσης από τρεις κινεζικές ομάδες απειλών, τους Budworm/Linen Typhoon, Sheathminer/Violet Typhoon και Storm-2603/Warlock ransomware.
Σε ένα έκθεση σήμερα, η εταιρεία κυβερνοασφάλειας Symantec, μέρος της Broadcom, λέει ότι το ToolShell χρησιμοποιήθηκε για να παραβιάσει διάφορους οργανισμούς στη Μέση Ανατολή, τη Νότια Αμερική, τις ΗΠΑ και την Αφρική, και οι καμπάνιες αξιοποίησαν κακόβουλο λογισμικό που συνήθως σχετίζεται με Κινέζους χάκερ του Salt Typhoon:
- Πάροχος τηλεπικοινωνιακών υπηρεσιών στη Μέση Ανατολή
- Δύο κυβερνητικά τμήματα σε μια αφρικανική χώρα
- Δύο κρατικές υπηρεσίες στη Νότια Αμερική
- Ένα πανεπιστήμιο στις Ηνωμένες Πολιτείες
- Μια κρατική υπηρεσία τεχνολογίας στην Αφρική
- Ένα κυβερνητικό τμήμα της Μέσης Ανατολής
- Μια ευρωπαϊκή χρηματοοικονομική εταιρεία
Η δραστηριότητα στην εταιρεία τηλεπικοινωνιών, η οποία είναι το επίκεντρο της έκθεσης της Symantec, ξεκίνησε στις 21 Ιουλίου με το CVE-2025-53770 να αξιοποιείται για την εγκατάσταση κελύφους ιστού που επιτρέπουν τη μόνιμη πρόσβαση.
Ακολούθησε η πλευρική φόρτωση DLL ενός backdoor που βασίζεται στο Go με το όνομα Zingdoor, το οποίο μπορεί να συλλέγει πληροφορίες συστήματος, να εκτελεί λειτουργίες αρχείων και επίσης να διευκολύνει την απομακρυσμένη εκτέλεση εντολών.
Στη συνέχεια, ένα άλλο βήμα πλευρικής φόρτωσης ξεκίνησε “αυτό που φαίνεται να είναι το ShadowPad Trojan”, είπαν οι ερευνητές, προσθέτοντας ότι η ενέργεια ακολούθησε απόρριψη του εργαλείου KrustyLoader που βασίζεται σε Rust, το οποίο τελικά ανέπτυξε το πλαίσιο μετά την εκμετάλλευση ανοιχτού κώδικα Sliver.
Συγκεκριμένα, τα βήματα πλευρικής φόρτωσης διεξήχθησαν χρησιμοποιώντας νόμιμα εκτελέσιμα αρχεία Trend Micro και BitDefender. Για τις επιθέσεις στη Νότια Αμερική, οι φορείς απειλών χρησιμοποίησαν ένα αρχείο που έμοιαζε με το όνομα της Symantec.
Στη συνέχεια, οι εισβολείς προχώρησαν σε απόρριψη διαπιστευτηρίων μέσω των ProcDump, Minidump και LsassDumper και χρησιμοποίησαν το PetitPotam (CVE-2021-36942) για παραβίαση τομέα.
Οι ερευνητές σημειώνουν ότι η λίστα των δημοσίως διαθέσιμων εργαλείων που χρησιμοποιήθηκαν στις επιθέσεις περιελάμβανε το βοηθητικό πρόγραμμα Certutil από τη Microsoft, το GoGo Scanner (μια μηχανή σάρωσης της κόκκινης ομάδας) και το βοηθητικό πρόγραμμα Revsocks που επιτρέπει την εξαγωγή δεδομένων, την εντολή και τον έλεγχο και την παραμονή στη συσκευή που έχει παραβιαστεί.
Η Symantec λέει ότι τα ευρήματά της υποδεικνύουν ότι η ευπάθεια του ToolShell αξιοποιήθηκε από ένα μεγαλύτερο σύνολο κινεζικών παραγόντων απειλών από ό,τι ήταν γνωστό στο παρελθόν.
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
