Hackerii, presupus legați de China, au exploatat vulnerabilitatea ToolShell (CVE-2025-53770) din Microsoft SharePoint în atacuri îndreptate împotriva agențiilor guvernamentale, universităților, furnizorilor de servicii de telecomunicații și organizațiilor financiare.
Defecțiunea de securitate afectează serverele SharePoint on-premise și a fost dezvăluită ca un zero-day exploatat activ la data de 20 iulie, după ce mai multe grupuri de hackeri legate de China au profitat de ea în atacuri extinse. Microsoft a lansat actualizări de urgență a doua zi.
Problema reprezintă o bypass pentru CVE-2025-49706 și CVE-2025-49704, două defecte pe care cercetătorii de securitate cibernetică de la Viettel Cyber Security le-au demonstrat în competiția de hacking Pwn2Own Berlin din mai și poate fi exploatată de la distanță fără autentificare pentru execuția de cod și acces complet la sistemul de fișiere.
Microsoft a declarat anterior că ToolShell a fost exploatat de trei grupuri de amenințări chineze, Budworm/Linen Typhoon, Sheathminer/Violet Typhoon și Storm-2603/Warlock ransomware.
Într-un raport emis astăzi, compania de securitate cibernetică Symantec, parte a Broadcom, afirmă că ToolShell a fost folosit pentru a compromite diverse organizații din Orientul Mijlociu, America de Sud, SUA și Africa, campaniile folosind malware în mod obișnuit asociat cu hackerii chinezi Salt Typhoon:
Activitatea pe firma de telecomunicații, care este focusul raportului Symantec, a început la data de 21 iulie, cu CVE-2025-53770 fiind exploatat pentru a planta webshells care permit accesul persistent.
A urmat încărcarea laterală a unui backdoor Go numit Zingdoor prin DLL, care poate colecta informații de sistem, efectua operațiuni de fișiere și facilita execuția de comenzi la distanţă.
Apoi, un alt pas de încărcare laterală a lansat „ceea ce pare a fi troianul ShadowPad”, au spus cercetătorii, adăugând că acțiunea a fost urmată de lansarea instrumentului Rust-based KrustyLoader, care în cele din urmă a implementat framework-ul de post-exploatare open-source Sliver.
În mod remarcabil, pașii de încărcare laterală au fost efectuați folosind executabile legitime Trend Micro și BitDefender. Pentru atacurile din America de Sud, actorii de amenințare au folosit un fișier care seamănă cu numele Symantec.
În continuare, atacatorii au procedat la extragerea de acreditări prin ProcDump, Minidump și LsassDumper și au exploatat PetitPotam (CVE-2021-36942) pentru compromiterea domeniului.
Cercetătorii notează că lista de unelte disponibile public și de tip „living-off-the-land” folosite în atacuri a inclus utilitarul Certutil de la Microsoft, GoGo Scanner (un motor de scanare red-team) și utilitarul Revsocks care permite exfiltrarea datelor, controlul și persistența pe dispozitivul compromis.
Symantec spune că descoperirile sale indică faptul că vulnerabilitatea ToolShell a fost exploatată de un set mai mare de actori de amenințare chinezi decât se știa anterior.
46% dintre mediile de lucru au avut parole sparte, aproape dublu față de 25% anul trecut.
Obțineți acum Raportul Picus Blue 2025 pentru o privire cuprinzătoare asupra altor descoperiri referitoare la prevenire, detectare și tendințele de exfiltrare a datelor.
Hackerii exploatează zero-day în software-ul de partajare a fișierelor Gladinet
Aproape 50.000 de firewalls Cisco vulnerabile la defecte exploatate activ
CISA avertizează cu privire la vulnerabilitatea Dassault RCE exploatată activ
Peste 28.000 de dispozitive Citrix vulnerabile la noua defectare exploatată RCE
Peste 75.000 de dispozitive de securitate WatchGuard vulnerabile la o defectare critică RCE
Leave a Reply