ក្រុមមេរោគចាប់ជម្រិតបានឈានជើងចូលវាយប្រហារលើខ្សែច្រវាក់ភាពងាយរងគ្រោះ Microsoft SharePoint ដែលជាផ្នែកមួយនៃយុទ្ធនាការកេងចំណេញដ៏ធំ ដែលបណ្តាលឱ្យមានការបំពាននៅទូទាំងពិភពលោកយ៉ាងហោចណាស់លើស្ថាប័នចំនួន ១៤៨។
អ្នកស្រាវជ្រាវនៅ Palo Alto Networks’ Unit 42 បានរកឃើញអញ្ញត្តិមេរោគចាប់ជម្រិត 4L4MD4R ដោយផ្អែកលើ Open-source Mauri870 Code ខណៈឧប្បត្តិហេតុវិភាគពាក់ព័ន្ធនឹងខ្សែច្រវាក់កេងចំណេញ SharePoint នេះ (ឈ្មោះ “ToolShell”)។ មេរោគចាប់ជម្រិតត្រូវបានរកឃើញនៅថ្ងៃទី២៧ ខែកក្កដា បន្ទាប់ពីការរកឃើញ Malware Loader ដែលបានដោនឡូត និងប្រតិបត្តិការមេរោគចាប់ជម្រិតពី Theinnovationfactory.it (145.239.97.206)។
The Loader ត្រូវបានរកឃើញបន្ទាប់ពីការប៉ុនប៉ងកេងចំណេញដែលបានបង្ហាញពី PowerShell Commands ព្យាបាទ ដែលត្រូវបានបង្កើតឡើង ដើម្បីបិទការត្រួតពិនិត្យលើសុវត្ថិភាព នៅលើឧបករណ៍ដែលត្រូវបានកំណត់គោលដៅ។ Unit 42 បានថ្លែងថា ការវិភាគលើ 4L4MD4R Payload បានបង្ហាញថា វាគឺជា UPX-packed និងត្រូវបានសរសេរនៅក្នុងកម្មវិធី Golang។ នៅពេលអនុវត្ត គម្រូឌិគ្រីប AES-encrypted Payload នៅក្នុងអង្គចងចាំ មានបែងចែកអង្គចងចាំដើម្បី Load Decrypted PE File និងបង្កើត Thread ថ្មីដើម្បីដំណើរការមេរោគ។ មេរោគចាប់ជម្រិត 4L4MD4R ឌិគ្រីបឯកសារនៅលើប្រព័ន្ធដែលត្រូវបានគ្រប់គ្រង និងជម្រិតទារប្រាក់ 0.005 Bitcoin ដោយបង្កើតសារជម្រិតទារប្រាក់ និងបញ្ជីឯកសារដែលត្រូវបានអ៊ីនគ្រីបនៅលើប្រព័ន្ធដែលឆ្លងមេរោគ។
ក្រុមហ៊ុន Microsoft និង Google ក៏បានភ្ជាប់ការវាយប្រហារ ToolShell ទៅនឹងក្រុមហេគឃ័រចិន ជាមួយនឹងអ្នកស្រាវជ្រាវសន្តិសុខ Microsoft ដែលមានឈ្មោះក្រុមហេគគាំទ្រដោយរដ្ឋផ្សេងៗគ្នារួមមាន៖ Linen Typhoon, Violet Typhoon និង Strom-2603។ មកដល់ពេលនេះ ក្រុមគោលដៅល្បីៗជាច្រើនបានត្រូវគ្រប់គ្រងនៅក្នុងយុទ្ធនាការដែលកំពុងដំណើរការនេះរួមមាន រដ្ឋបាលសន្តិសុខនុយក្លេអ៊ែរអាមេរិក ក្រសួងអប់រំ ក្រសួងចំណូលរបស់ Florida មហាសន្និបាត Rhode Island និងបណ្តាញណិតវើករដ្ឋាភិបាលនៅអឺរ៉ុប រួមទាំអមជ្ឈឹមបូព៌ា។
ក្រុមហ៊ុន Microsoft បានតាមដានហេគឃ័ររដ្ឋចិនដែលមានឈ្មោះថា Linen Typhoon និង Violet Typhoon ដែលបានកេងចំណេញលើភាពងាយរងគ្រោះ ហើយមានគោលដៅលើ Internet-facing SharePoint Servers បើយោងតាម Microsoft។ ជាងនេះទៀត ក្រុមហ៊ុនបានសង្កេតមើលហេគឃ័រដែលមានមូលដ្ឋាននៅចិនឈ្មោះ Storm-2603 កំពុងតែកេងចំណេញលើភាពងាយរងគ្រោះទាំងនេះផងដែរ។ ការស៊ើបអង្កេតលើហេគឃ័រផ្សេងទៀតដែលកំពុងតែប្រើប្រាស់ការកេងចំណេញលើបញ្ហាទាំងនេះក៏កំពុងតែធ្វើឡើងផងដែរ។ ក្រុមហ៊ុនសន្តិសុខសាយប័រ Dutch ឈ្មោះ Eye Security ដំបូងបានរកឃើញការកេងចំណេញលើ ToolShell ដែលមានគោលដៅលើ CVE-2025-49706 និង CVE-2025-49704 នៅក្នុងការវាយប្រហារ Zero-day ដោយចាប់ផ្តើមកំណត់គោលដៅលើស្ថាប័នដែលត្រូវបានគ្រប់គ្រងចំនួន៥៤ រួមមានស្ថាប័នរដ្ឋាភិបាល និងក្រុមហ៊ុនចម្រុះជាច្រើន។ ការស្រាវជ្រាវ Check Point បានបង្ហាញពីសញ្ញានៃការកេងចំណេញនៅថ្ងៃទី០៧ ខែកក្កដា ដោយមានគោលដៅលើរដ្ឋាភិបាល ក្រុមហ៊ុនទូរគមនាគមន៍ និងក្រុមហ៊ុនបច្ចេកវិទ្យានៅទូទាំងអាមេរិកខាងជើង និងអឺរ៉ុបខាងលិច។
ក្រុមហ៊ុន Microsoft បាន Patch បញ្ហាចំនួន២ នៅក្នុងបច្ចុប្បន្នភាព July 2025 Patch Tuesday និងបានកំណត់អត្តសញ្ញាណ CVE ចំនួនពីរ (CVE-2025-53770 និង CVE-2025-53771) សម្រាប់ការកេងចំណេញលើបញ្ហា Zero-days ដែលត្រូវបានកេងចំណេញដើម្បីគ្រប់គ្រងលើ SharePoint Server ដែលបាន Patched។ ប្រធានផ្នែកបច្ចេកទេស Eye Security ក៏បានប្រាប់ថា ទំហំនៃវិសាលភាពពិតប្រាកដលើសពីការប៉ាន់ស្មានដំបូង ដែលបង្ហាញទិន្នន័យរបស់ក្រុមហ៊ុនថា អ្នកវាយប្រហារបានចម្លងមេរោគចូលម៉ាស៊ីនមេចំនួន ៤០០គ្រឿងតាមរយៈបណ្តាញណិតវើករបស់ស្ថាប័នមិនតិចជាង ១៤៨ទេ ហើយភាគច្រើនត្រូវបានគ្រប់គ្រងសម្រាប់រយៈពេលវែង។ ភ្នាក់ងារ CISA បានបន្ថែមបញ្ហា CVE-2025-53770 ដែលជាភាពងាយរងគ្រោះអាចបញ្ជាកូដបានពីចម្ងាយ ហើយជាផ្នែកមួយនៃខ្សែច្រវាក់នៃការកេងចំណេញ ToolShell ចូលទៅក្នុងបញ្ជីនៃបញ្ហាដែលត្រូវបានកេងចំណេញរបស់ខ្លួន និងបានបញ្ជាភ្នាក់ងារសហព័ន្ធឱ្យធានាពីប្រព័ន្ធរបស់ពួកគេនៅក្នុងរយៈពេល ២៤ម៉ោង។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៤ ខែសីហា ឆ្នាំ២០២៥
