Storm-2603 khai thác lỗ hổng SharePoint, phát tán mã độc Warlock quy mô lớn

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
109
986 bài viết
Storm-2603 khai thác lỗ hổng SharePoint, phát tán mã độc Warlock quy mô lớn
WhiteHat Team
Microsoft vừa phát đi cảnh báo khẩn, một nhóm tin tặc được cho là có liên hệ với Trung Quốc đang khai thác các lỗ hổng chưa vá trong phần mềm SharePoint Server để cài mã độc Warlock ransomware - một loại mã độc tống tiền có khả năng mã hóa toàn bộ hệ thống.

1753426375187.png

Theo dữ liệu từ nhóm nghiên cứu bảo mật của Microsoft, cuộc tấn công này nằm trong chiến dịch của nhóm Storm-2603, một nhóm tấn công có động cơ tài chính, từng bị phát hiện phát tán cả Warlock lẫn LockBit ransomware trong quá khứ.

Chiến dịch lần này bắt đầu từ việc khai thác 2 lỗ hổng nguy hiểm trong SharePoint Server:
  • CVE-2025-49706: Lỗ hổng giả mạo danh tính (spoofing)
  • CVE-2025-49704: Lỗ hổng thực thi mã từ xa (RCE - Remote Code Execution)
Khi khai thác thành công, tin tặc sẽ:
  1. Cài đặt web shell độc hại (spinstall0.aspx) trên máy chủ.
  2. Dùng các lệnh qua tiến trình w3wp.exe (đặc trưng của SharePoint) để kiểm tra quyền truy cập (whoami) và mở rộng phạm vi xâm nhập.
  3. Tắt Microsoft Defender bằng cách chỉnh sửa Registry thông qua "services.exe".
  4. Tạo tác vụ định kỳ (Scheduled Task), sửa đổi các thành phần của IIS để cấy mã độc .NET, duy trì quyền truy cập lâu dài.
  5. Sử dụng Mimikatz để lấy cắp mật khẩu từ bộ nhớ hệ thống (LSASS).
  6. Di chuyển sang các máy khác trong mạng (lateral movement) thông qua PsExec và công cụ Impacket.
  7. Cuối cùng, chúng sửa đổi Group Policy để phát tán Warlock ransomware toàn hệ thống.
Tất cả các tổ chức sử dụng Microsoft SharePoint Server on-premises (máy chủ cài đặt nội bộ, không phải bản đám mây) có nguy cơ cao. Nguy cơ lan rộng ra toàn mạng nội bộ của doanh nghiệp nếu tin tặc chiếm được quyền truy cập hệ thống chính.

Chỉ cần hệ thống SharePoint chưa được vá, tin tặc có thể chiếm toàn quyền kiểm soát hệ thống và mã hóa dữ liệu. Đã có ít nhất 400 nạn nhân được xác nhận, trong đó có cả cơ quan chính phủ và doanh nghiệp. Không chỉ Storm-2603, các nhóm hacker khác của Trung Quốc như Linen Typhoon (APT27) và Violet Typhoon (APT31) cũng bị nghi ngờ tham gia tấn công tương tự.

Microsoft khuyến nghị mạnh mẽ người dùng:
  • Cập nhật ngay SharePoint Server lên bản mới nhất có vá lỗi.
  • Bật Antimalware Scan Interface (AMSI) và kiểm tra cấu hình đúng.
  • Triển khai các giải pháp bảo vệ đầu cuối như Microsoft Defender for Endpoint hoặc các phần mềm tương đương.
  • Xoay lại khóa máy "ASP.NET" trên máy chủ SharePoint.
  • Khởi động lại dịch vụ IIS bằng lệnh "iisreset.exe" sau khi vá lỗi.
  • Kích hoạt kế hoạch ứng phó sự cố bảo mật (IR plan) trong tổ chức.
Lỗ hổng bảo mật trong SharePoint không còn là vấn đề lý thuyết. Với hơn 400 nạn nhân và chuỗi tấn công ngày càng tinh vi, các tổ chức, đặc biệt là doanh nghiệp vừa và lớn, cần hành động ngay lập tức để ngăn chặn nguy cơ bị tống tiền và rò rỉ dữ liệu.

Theo The Hacker News
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Nhóm hacker Fire Ant khai thác lỗ hổng VMware tấn công ESXi và môi trường vCenter
  • Tin tặc khai thác lỗ hổng Ivanti để phát tán mã độc và triển khai Cobalt Strike
  • CISA cảnh báo lỗ hổng Zimbra ZCS đang bị khai thác thực tế
  • Chrome vá khẩn cấp lỗ hổng zero-day đang bị khai thác trong thực tế
  • Lỗ hổng nghiêm trọng trong Zyxel bị hacker tái khai thác trên toàn cầu
  • Lỗ hổng zero-day trong Google Chrome bị hacker khai thác để triển khai mã độc Trinper
    • Thẻ
    microsoft sharepoint storm-2603
    Bên trên