Nhóm APT27 và APT31 quay trở lại với chiến dịch tấn công SharePoint

[CyberThao]

Trong báo cáo mới nhất công bố ngày 7/7/2025, Micrsoft đã chính thức xác nhận rằng ba nhóm tin tặc có liên hệ với Trung Quốc đang khai thác các lỗ hổng bảo mật trong SharePoint Server được triển khai trên internet để tấn công vào các hệ thống chưa được vá. Các nhóm này bao gồm Linen Typhoon, Violet Typhoon và một nhóm thứ ba được định danh là Storm-2603.

Các nhóm tấn công và phương thức khai thác​

• Linen Typhoon (còn được biết đến với các tên gọi khác như APT27, Bronze Union, Emissary Panda, Iodine, Lucky Mouse, Red Phoenix, UNC215) đã hoạt động từ năm 2012. Nhóm này từng sử dụng nhiều phần mềm độc hại như SysUpdate, HyperBro và PlugX trong các chiến dịch trước đây.
• Violet Typhoon (hay còn gọi là APT31, Bronze Vinewood, Judgement Panda, Red Keres, Zirconium) hoạt động từ năm 2015, từng bị cáo buộc tấn công vào Mỹ, Phần Lan và Cộng hòa Séc.
• Storm-2603, nhóm tin tặc thứ ba bị nghi ngờ đặt trụ sở tại Trung Quốc, đã từng triển khai các phần mềm tống tiền như Warlock và LockBit.

Cả ba nhóm đều khai thác các lỗ hổng trong SharePoint Server, đặc biệt là các bản vá chưa hoàn chỉnh liên quan đến hai mã lỗi CVE-2025-49706 (giả mạo) và CVE-2025-49704 (thực thi mã từ xa). Hai lỗ hổng này hiện đã được định danh lại là CVE-2025-53771 và CVE-2025-53770.
Theo ghi nhận của Microsoft, các cuộc tấn công bắt đầu từ một yêu cầu POST đến điểm cuối ToolPane, cho phép bỏ qua cơ chế xác thực và thực thi mã từ xa trên máy chủ SharePoint tại chỗ.
Một trong những dấu hiệu của cuộc tấn công là việc cài đặt một web shell có tên spinstall0.aspx (còn được gọi là spinstall.aspx, spinstall1.aspx hoặc spinstall2.aspx). Web shell này giúp tin tặc truy xuất và đánh cắp khóa dữ liệu MachineKey – một thành phần quan trọng của ASP.NET trong việc mã hóa dữ liệu.

Nhà nghiên cứu bảo mật Rakesh Krishnan tiết lộ rằng quá trình phân tích pháp y các hệ thống bị tấn công cho thấy ba lệnh gọi Microsoft Edge riêng biệt đã được sử dụng, bao gồm: Network Utility Process, Crashpad Handler và GPU Process. Dù mỗi tiến trình có vai trò riêng trong kiến trúc Chromium, nhưng chúng được phối hợp để mô phỏng hành vi hợp pháp và né tránh sandbox (hộp cát).
Đáng chú ý, web shell còn sử dụng Giao thức cập nhật máy khách của Google (CUP) để trộn lưu lượng độc hại với các truy vấn cập nhật thông thường, giúp tránh bị phát hiện.

Khuyến nghị từ Microsoft​

Để giảm thiểu nguy cơ bị tấn công, Microsoft khuyến cáo các tổ chức thực hiện các bước sau:

• Cập nhật SharePoint Server Subscription Edition, SharePoint Server 2019 và SharePoint Server 2016 lên phiên bản mới nhất.
• Xoay vòng khóa máy ASP.NET trên máy chủ SharePoint.
• Khởi động lại dịch vụ Internet Information Services (IIS).
• Triển khai Microsoft Defender for Endpoint hoặc giải pháp bảo mật tương đương.
• Kích hoạt Giao diện quét phần mềm độc hại (AMSI) và Microsoft Defender Antivirus trên tất cả các máy chủ SharePoint tại chỗ.
• Cấu hình AMSI để chạy ở chế độ đầy đủ.

Microsoft cảnh báo rằng những kẻ tấn công khác có thể tiếp tục khai thác các lỗ hổng này trong tương lai, làm nổi bật tầm quan trọng của việc cập nhật bảo mật kịp thời.
Đây là lần thứ hai Microsoft xác nhận sự liên quan của các nhóm tin tặc Trung Quốc đến các cuộc tấn công quy mô lớn. Trước đó, vào tháng 3 năm 2021, các nhóm này từng lợi dụng hàng loạt lỗ hổng zero-day trong Exchange Server.
Đầu tháng 7/2025, một công dân Trung Quốc 33 tuổi, Xu Zewei, đã bị bắt tại Ý. Người này bị buộc tội thực hiện các cuộc tấn công mạng vào các cơ quan chính phủ Hoa Kỳ bằng cách lợi dụng lỗ hổng ProxyLogon trong Microsoft Exchange Server.
Đọc chi tiết tại đây: https://thehackernews.com/2025/07/microsoft-links-ongoing-sharepoint.html

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview