ហេគឃ័រដែលជឿថាមានទាក់ទងនឹងប្រទេសចិនបានប្រើប្រាស់ភាពងាយរងគ្រោះ ToolShell (CVE-2025-53770) នៅក្នុងការវាយប្រហារ Microsoft SharePoint ក្នុងគោលបំណងដើម្បីកំណត់គោលដៅលើទីភ្នាក់ងារមានដូចជា សាកលវិទ្យាល័យ ក្រុមហ៊ុនផ្តល់សេវាទូរគមនាគមន៍ និងស្ថាប័នហិរញ្ញវត្ថុ។
បញ្ហាសុវត្ថិភាពនេះបានប៉ះពាល់ដល់ On-premise SharePoint Servers និងត្រូវបានបង្ហាញថា ជាបញ្ហា Zero-day ដែលត្រូវបានកេងចំណេញយ៉ាងសកម្មកាលពីថ្ងៃទី២០ ខែកក្កដា បន្ទាប់ពីក្រុមហេគឃ័រចម្រុះដែលមានពាក់ព័ន្ធនឹងប្រទេសចិនបានប្រើវានៅក្នុងការវាយប្រហារដ៏ធំ។ ក្រុមហ៊ុន Microsoft បានបញ្ចេញបច្ចុប្បន្នភាពជាបន្ទាន់ បន្ទាប់ពីរកឃើញថាមានបញ្ហានោះ។ បញ្ហាទាំងនេះគឺជាការឆ្លងកាត់ CVE-2025-49706 និង CVE-2025-49704 ហើយអ្នកស្រាវជ្រាវសន្តិសុខ Viettel Cyber បានបង្ហាញនៅក្នុងការប្រកួត Pwn2Own Berlin Hacking កាលពីខែឧសភា និងអាចត្រូវបានប្រើសម្រាប់ការផ្ទៀងផ្ទាត់ពីចម្ងាយសម្រាប់ប្រតិបត្តិការកូដ រួមទាំងដំណើរការ File System ពេញលេញ។
ក្រុមហ៊ុន Microsoft បានថ្លែងថា ToolShell ត្រូវបានកេងចំណេញដោយក្រុមហេគឃ័រចិន Budworm/Linen Typhoon, Sheathminer/Violet Typhoon និង Storm-2603/Warlock Ransomware។ នៅក្នុងរបាយការណ៍ថ្ងៃនេះ ក្រុមហ៊ុនសន្តិសុខ Symantec ដែលជាផ្នែកមួយនៃ Broadcom បានថ្លែងថា ToolShell ត្រូវបានប្រើសម្រាប់គ្រប់គ្រងលើអង្គភាពផ្សេងៗនៅមជ្ឈឹមបូព៌ា អាមេរិកខាងត្បូង អាមេរិក និងអាព្រិក ហើយយុទ្ធនាការបានប្រើប្រភេទមេរោគទាក់ទងនឹងហេគឃ័រជនជាតិចិន Salt Typhoon រួមមាន:
- ក្រុមហ៊ុនផ្តល់សេវាទូរគមនាគមន៍នៅមជ្ឈឹមបូព៌ា
- ក្រសួងនៅក្នុងរដ្ឋាភិបាលចំនួនពីរ នៅប្រទេសអាព្រិក
- ទីភ្នាក់ងារដ្ឋាភិបាលចំនួនពីរ នៅប្រទេសអាមេរិកខាងត្បូង
- សកលវិទ្យាល័យនៅអាមេរិក
- ទីភ្នាក់ងារបច្ចេកវិទ្យារដ្ឋ នៅក្នុងប្រទេសអាព្រិក
- ក្រសួងនៅក្នុងរដ្ឋាភិបាលមជ្ឈឹមបូព៌ា
- ស្ថាប័នហិរញ្ញវត្ថុអឺរ៉ុប
សកម្មភាពនៅក្រុមហ៊ុនទូរគមនាគមន៍ ដែលជាការផ្តោតសំខាន់លើរបាយការណ៍របស់ Symantec បានចាប់ផ្តើមនៅថ្ងៃទី២១ ខែកក្កដា ជាមួយនឹងបញ្ហា CVE-2025-53770 ដែលត្រូវបានកេងចំណេញ ដើម្បីបញ្ចូល Webshells ត្រូវបានអនុញ្ញាតឱ្យចូលដំណើរការបន្ត។ បន្ទាប់មកត្រូវបានបន្តដោយ DLL Side-loading a Go-based Backdoor ដែលមានឈ្មោះថា Zingdoor ដែលអាចប្រមូល System Info អនុវត្ត File Operations និងសម្របសម្រួលដល់ការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយផងដែរ។ បន្ទាប់មក Side-loading ផ្សេងទៀតបានដាក់ចេញនូវអ្វីដែលទំនងជាមេរោគ ShadowPad Trojan បើតាមអ្នកស្រាវជ្រាវបានបន្ថែមថា សកម្មភាពនេះត្រូវបានតាមពីក្រោយដោយការទម្លាក់ Rust-based KrustyLoader Tool ដែលចុងក្រោយដាក់ពង្រាយ Sliver Open-source Post-exploitation Framework។ គួរកត់សម្គាល់ដែរថា ជំហាន Side-loading ត្រូវបានអនុវត្តដោយការប្រើ Trend Micro និង BitDefender Executables ស្របច្បាប់។ សម្រាប់ការវាយប្រហារនៅអាមេរិកខាងត្បូង ហេគឃ័របានប្រើឈ្មោះឯកសារដូចទៅនឹង Symantec។ បន្ទាប់មក អ្នកវាយប្រហារបានដំណើរការ Credential Dumping តាមរយៈ ProcDump, Minidump, LsassDumper និងបានប្រើប្រាស់ PetiPotam (CVE-2021-36942) សម្រាប់ការគ្រប់គ្រង Domain។ អ្នកស្រាវជ្រាវបានកត់សម្គាល់ថា បញ្ជីមានជាសាធារណៈ និងឧបករណ៍ Living-off-the-land បានប្រើនៅក្នុងការវាយប្រហាររួមមាន Certutil Utility ពី Microsoft ដែលជា GoGo Scanner (ជាម៉ាស៊ីន Red-team Scanning) និង Revsocks Utility ដែលអនុញ្ញាតឱ្យមានការទាញយកទិន្នន័យ ការបញ្ជា ការគ្រប់គ្រង និងការរក្សាវត្តមាននៅលើឧបករណ៍ដែលត្រូវបានគេគ្រប់គ្រង។
ក្រុមហ៊ុន Symantec ថ្លែងថា ការរកឃើញរបស់ខ្លួនបង្ហាញថា ភាពងាយរងគ្រោះ ToolShell ត្រូវបានកេងចំណេញដោយហេគឃ័រជនជាតិចិនដ៏ច្រើនជាងអ្វីដែលគេបានដឹងពីមុន។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២២ ខែតុលា ឆ្នាំ២០២៥
