ក្រុមហេគឃ័រដែលមានមូលដ្ឋាននៅប្រទេសចិនកំពុងតែដាក់ពង្រាយមេរោគចាប់ជម្រិត Warlock នៅលើភាពងាយរងគ្រោះម៉ាស៊ីនមេ Microsoft SharePoint ដើម្បីពង្រីកការវាយប្រហារដែលមានគោលដៅលើ Patch ថ្មីៗ ToolShell Zero-day Exploit Chain។
ស្ថាប័នសន្តិសុខមិនរកប្រាក់ចំណេញ Shadowserver បច្ចុប្បន្នកំពុងតែតាមដានម៉ាស៊ីនមេមិនតិចជាង ៤២០ SharePoint ទេ ដែលត្រូវបានកេងចំណេញតាមរយៈអនឡាញ និងនៅតែងាយរងគ្រោះចំពោះការវាយប្រហារដែលកំពុងតែបន្តនេះ។ ក្រុមហ៊ុនបានថ្លែងថា បើទោះជាក្រុមហ៊ុន Microsoft បានសង្កេតឃើញហេគឃ័រកំពុងតែដាក់ពង្រាយមេរោគចាប់ជម្រិត Warlock និង Lockbit កាលពីអតីតកាល ក៏ក្រុមហ៊ុន Microsoft បច្ចុប្បន្នមិនអាចវាយតម្លៃលើគោលបំណងរបស់អ្នកគំរាមកំហែងនៅឡើយទេ។
នៅថ្ងៃទី១៨ ខែកក្កដា ឆ្នាំ២០២៥ ក្រុមហ៊ុន Microsoft បានសង្កេតឃើញមេរោគចាប់ជម្រិត Storm-2603 កំពុងតែត្រូវបានដាក់ពង្រាយ ដោយប្រើភាពងាយរងគ្រោះទាំងនេះ។ បន្ទាប់ពីការបំពានលើបណ្តាញណិតវើករបស់ជនរងគ្រោះ ប្រតិបត្តិករមេរោគ Storm-2603 ប្រើប្រាស់ Mimikatz Hacking Tool ដើម្បីទាញយកអត្តសញ្ញាណអត្ថបទធម្មតា (Plaintext) ពី LSASS Memory។ បន្ទាប់មក ពួកវាបានផ្លាស់ទីជាមួយ PsExec និង Impacket Toolkit ដែលប្រតិបត្តិការ Commands តាមរយៈ Windows Management Instrumentation (WMI) និងកែប្រែ Group Policy Objects (GPOs) ដើម្បីបញ្ជូនមេរោគ Warlock ទៅទូទាំងប្រព័ន្ធដែលត្រូវបានគ្រប់គ្រង។ អតិថិជនគួរតែធ្វើបច្ចុប្បន្នភាព On-premises SharePoint Server ភ្លាម ហើយអនុវត្តតាមការណែនាំដើម្បីកាត់បន្ថយគ្រោះថ្នាក់លម្អិតនៅក្នុង Blog របស់ក្រុមហ៊ុន បើយោងតាមការព្រមានពីក្រុមហ៊ុន Microsoft។
អ្នកស្រាវជ្រាវ Microsoft Threat Intelligence ក៏បានភ្ជាប់ក្រុម Linen Typhoon និង Violet Typhoon ជាក្រុមហេគឃ័រដែលគាំទ្រដោយរដ្ឋចិនចំពោះការវាយប្រហារកាលពីថ្ងៃអង្គារ ជាច្រើនថ្ងៃបន្ទាប់ពីក្រុមហ៊ុនសន្តិសុខប្រទេស Dutch ឈ្មោះ Eye Security បានរកឃើញការវាយប្រហារ Zero-day លើកដំបូង ដែលកំពុងតែកេងចំណេញលើភាពងាយរងគ្រោះ CVE-2025-49706 និង CVE-2025-49704។ តាំងពីពេលនោះមក Eye Security CTO Piet Kerkhofs បានរៀបរាប់ថា ចំនួនអង្គភាពដែលត្រូវបានបំពានមិនតិចទេ ហើយភាគច្រើនត្រូវបានគ្រប់គ្រងអស់មួយរយៈហើយ។ យោងតាមស្ថិតិរបស់ក្រុមហ៊ុនសន្តិសុខសាយប័របានឱ្យដឹងថា អ្នកវាយប្រហារបានចម្លងមេរោគទៅម៉ាស៊ីនមេមិនតិចជាង ៤០០គ្រឿងទេ និងបានបំពានលើស្ថាប័ន ១៤៨ នៅទូទាំងពិភពលោក។
ទីភ្នាក់ងារ CISA ក៏បានបន្ថែមបញ្ហាបញ្ជាកូដពីចម្ងាយ CVE-2025-53770 ដែលជាផ្នែកមួយនៃបញ្ហាខ្សែច្រវាក់កេងចំណេញ ToolShell ចូលទៅក្នុងបញ្ជីភាពងាយរងគ្រោះដែលត្រូវបានកេងចំណេញ ដោយបញ្ជាឱ្យទីភ្នាក់ងារសហព័ន្ធអាមេរិករក្សាសុវត្ថិភាពប្រព័ន្ធរបស់ពួកគេភ្លាមៗផងដែរ។ ទោះជាយ៉ាងណា កាលពីដើមសប្តាហ៍នេះ ក្រសួងថាមពលបានបញ្ជាក់ថា រដ្ឋបាលសន្តិសុខនុយក្លេអ៊ែរជាតិ (ទីភ្នាក់ងារអាវុធនុយក្លេអ៊ែរអាមេរិក) ត្រូវបានបំពាននៅក្នុងការវាយប្រហារ Microsoft SharePoint ដែលកំពុងដំណើរការ បើទោះជាទីភ្នាក់ងារមិនបានរកឃើញភស្តុតាងដែលបង្ហាញថាព័ត៌មានសម្ងាត់ត្រូវបានគ្រប់គ្រងនៅក្នុងឧប្បត្តិហេតុក្តី។ សារព័ត៌មាន Bloomberg បានរៀបរាប់ថា អ្នកវាយប្រហារក៏បានលួចចូលទៅក្នុងប្រព័ន្ធក្រសួងអប់រំអាមេរិក មហាសន្និបាត Rhode Island និងនាយកដ្ឋានចំណូលរដ្ឋ Florida ក៏ដូចជាបណ្តាញណិតវើករដ្ឋាភិបាលអឺរ៉ុប និងមជ្ឈឹមបូព៌ាផងដែរ។ កាសែត Washington Post ក៏បានរាយការណ៍ថា វិទ្យាស្ថានជាតិសន្តិសុខ និងសេវាកម្មទូទៅរបស់នាយកដ្ឋានសុខាភិបាល រួមទាំងសេវារបស់ទីភ្នាក់ងារស្រាវជ្រាវវេជ្ជសាស្រ្តរបស់សហរដ្ឋអាមេរិក ក៏ត្រូវបានបំពានផងដែរ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៤ ខែកក្កដា ឆ្នាំ២០២៥
