Įsilaužėliai, kurie, kaip manoma, yra susiję su Kinija, pasinaudojo „ToolShell“ pažeidžiamumu (CVE-2025-53770) „Microsoft SharePoint“, atakuodami vyriausybines agentūras, universitetus, telekomunikacijų paslaugų teikėjus ir finansų organizacijas.
Saugos trūkumas turi įtakos vietiniams „SharePoint“ serveriams ir buvo paskelbtas kaip aktyviai išnaudojama nulinė diena liepos 20 d., kai kelios su Kinija susijusios įsilaužimo grupės panaudojo ją plačiai paplitusiose atakose. Kitą dieną „Microsoft“ išleido avarinius naujinimus.
Problema yra CVE-2025-49706 ir CVE-2025-49704 – dviejų „Viettel Cyber Security“ tyrėjų gegužę vykusiame „Pwn2Own Berlin“ įsilaužimo konkurse – aplenkimas.
„Microsoft“ anksčiau teigė, kad „ToolShell“ išnaudojo trys Kinijos grėsmių grupės: „Budworm/Linen Typhoon“, „Sheathminer/Violet Typhoon“ ir „Storm-2603/Warlock“ išpirkos reikalaujančios programos.
Šiandienos ataskaitoje kibernetinio saugumo įmonė Symantec, priklausanti „Broadcom“, teigia, kad „ToolShell“ buvo naudojama siekiant pakenkti įvairioms organizacijoms Artimuosiuose Rytuose, Pietų Amerikoje, JAV ir Afrikoje, o kampanijose buvo panaudota kenkėjiška programa, paprastai susijusi su „Salt Typhoon“ Kinijos įsilaužėliais:
- Telekomunikacijų paslaugų teikėjas Artimuosiuose Rytuose
- Du vyriausybės departamentai Afrikos šalyje
- Dvi vyriausybinės agentūros Pietų Amerikoje
- Universitetas JAV
- Valstybinė technologijų agentūra Afrikoje
- Artimųjų Rytų vyriausybės departamentas
- Europos finansų bendrovė
Telekomunikacijų įmonės veikla, kuri yra „Symantec“ ataskaitoje akcentuojama, prasidėjo liepos 21 d., kai CVE-2025-53770 buvo išnaudojamas kuriant žiniatinklio apvalkalus, įgalinančius nuolatinę prieigą.
Po to DLL buvo įkeltas „Go“ pagrindu sukurtas „backdoor“, pavadintas „Zingdoor“, kuris gali rinkti sistemos informaciją, atlikti failų operacijas ir taip pat palengvinti nuotolinio komandų vykdymą.
Tada buvo pradėtas kitas šoninio įkėlimo veiksmas, „kas, atrodo, yra „ShadowPad Trojos arklys“, sakė tyrėjai ir pridūrė, kad po šio veiksmo buvo atsisakyta „Rust“ pagrindu veikiančio KrustyLoader įrankio, kuris galiausiai įdiegė atvirojo kodo „Sliver“ sistemą.
Pažymėtina, kad šoninio įkėlimo veiksmai buvo atlikti naudojant teisėtus Trend Micro ir BitDefender vykdomuosius failus. Išpuoliams Pietų Amerikoje grėsmės veikėjai naudojo failą, panašų į Symantec pavadinimą.
Tada užpuolikai pradėjo vykdyti kredencialų išmetimą naudodami „ProcDump“, „Minidump“ ir „LsassDumper“ ir pasinaudojo „PetitPotam“ (CVE-2021-36942), kad galėtų pažeisti domeną.
Tyrėjai pažymi, kad atakose naudotų viešai prieinamų ir ne žemėje naudojamų įrankių sąraše buvo Microsoft Certutil programa, GoGo Scanner (raudonosios komandos nuskaitymo variklis) ir Revsocks įrankis, leidžiantis išfiltruoti duomenis, valdyti komandą ir valdyti bei išlikti pažeistame įrenginyje.
„Symantec“ teigia, kad jos išvados rodo, kad „ToolShell“ pažeidžiamumu pasinaudojo didesnis Kinijos grėsmės subjektų rinkinys, nei buvo žinoma anksčiau.
46 % aplinkų slaptažodžiai buvo nulaužti, beveik dvigubai daugiau nei 25 % praėjusiais metais.
Gaukite „Picus Blue Report 2025“ dabar, kad išsamiai apžvelgtumėte daugiau išvadų apie prevencijos, aptikimo ir duomenų išfiltravimo tendencijas.