Một chiến dịch tấn công mạng tinh vi nhắm vào các máy chủ Microsoft SharePoint đã xâm phạm hơn 100 tổ chức trên toàn thế giới, trong đó có Cơ quan An ninh Hạt nhân Quốc gia Mỹ ( US National Nuclear Security Administration ) nằm trong số các nạn nhân được xác nhận. Các cuộc tấn công được cho là do các nhóm hacker được nhà nước Trung Quốc hậu thuẫn thực hiện, đã khai thác các lỗ hổng nghiêm trọng trong các triển khai SharePoint tại chỗ để có được quyền truy cập trái phép và thiết lập chỗ đứng lâu dài trong các mạng lưới mục tiêu.
 |
|---|
| Một biển báo tại khuôn viên công ty Microsoft ở Redmond, Washington, cho thấy nguồn gốc của các lỗ hổng phần mềm bị khai thác trong các cuộc tấn công mạng gần đây |
Các Lỗ Hổng Nghiêm Trọng Cho Phép Xâm Phạm Diện Rộng
Chiến dịch tấn công tập trung vào việc khai thác CVE-2025-53770, một lỗ hổng thực thi mã từ xa nghiêm trọng trong SharePoint Server với điểm đánh giá CVSS là 9.8. Lỗ hổng deserialization này cho phép kẻ tấn công gửi các yêu cầu được chế tạo đặc biệt để thực thi mã tùy ý trên các hệ thống dễ bị tổn thương. Mức độ nghiêm trọng của lỗ hổng được gia tăng bởi việc kẻ tấn công kết hợp nó với các khai thác bổ sung, bao gồm CVE-2025-49704 và CVE-2025-49706, để vượt qua các bản vá bảo mật mà Microsoft đã phát hành vào tháng 5 năm 2025.
Các lỗ hổng bị ảnh hưởng:
- CVE-2025-53770: Lỗ hổng thực thi mã từ xa nghiêm trọng (CVSS 9.8)
- CVE-2025-49704: Khai thác chuỗi được sử dụng để vượt qua các bản vá
- CVE-2025-49706: Lỗ hổng bổ sung được sử dụng trong chuỗi tấn công
Các Tác Nhân Đe Dọa Trung Quốc Triển Khai Phần Mềm Độc Hại Tiên Tiến
Nhóm Tình báo Đe dọa của Microsoft đã chính thức quy kết chiến dịch này cho nhiều tác nhân đe dọa có trụ sở tại Trung Quốc, bao gồm Linen Typhoon, Violet Typhoon và Storm-2603. Các nhóm này đã triển khai một phiên bản được sửa đổi của ToolShell, một trojan truy cập từ xa trước đây được liên kết với các hoạt động gián điệp của Trung Quốc. Phần mềm độc hại tích hợp liền mạch vào quy trình làm việc của SharePoint, cho phép kẻ tấn công hòa trộn với lưu lượng mạng hợp pháp trong khi duy trì quyền truy cập lâu dài cho các hoạt động trong tương lai.
Các tác nhân đe dọa được xác định:
- Linen Typhoon : Nhóm có trụ sở tại Trung Quốc với lịch sử đánh cắp sở hữu trí tuệ và hoạt động gián điệp
- Violet Typhoon : Tác nhân được nhà nước Trung Quốc tài trợ nhắm mục tiêu vào chính phủ và quân đội
- Storm-2603 : Tác nhân đe dọa có liên kết với Trung Quốc (mức độ tin cậy trung bình trong việc xác định danh tính)
Các Mục Tiêu Cấp Cao Bao Gồm Cơ Sở Hạ Tầng Quan Trọng
Phạm vi của việc xâm phạm mở rộng xa hơn các mục tiêu doanh nghiệp thông thường. Theo báo cáo của Bloomberg, các hacker đã thành công trong việc xâm nhập Cơ quan An ninh Hạt nhân Quốc gia Mỹ ( US National Nuclear Security Administration ), cơ quan liên bang chịu trách nhiệm quản lý kho vũ khí hạt nhân của Mỹ và các hệ thống đẩy tàu ngầm. Mặc dù các quan chức xác nhận rằng không có thông tin nhạy cảm hoặc mật nào bị xâm phạm, sự cố này làm nổi bật sự tập trung của chiến dịch vào cơ sở hạ tầng quan trọng và các thực thể chính phủ. Tổ chức Shadowserver Foundation báo cáo rằng hầu hết các tổ chức bị ảnh hưởng đều nằm ở Hoa Kỳ và Đức, bao gồm các cơ quan chính phủ, tổ chức giáo dục và công ty năng lượng.
Việc Vá Lỗi Tỏ Ra Không Đủ Chống Lại Các Mối Đe Dọa Dai Dẳng
Chiến dịch bắt đầu từ đầu tháng 4 năm 2025, với một số kẻ tấn công có được quyền truy cập trước khi các bản vá có sẵn. Ngay cả sau khi Microsoft phát hành các bản cập nhật bảo mật, nhiều hệ thống bị xâm phạm vẫn dễ bị tổn thương do khả năng của kẻ tấn công trong việc duy trì sự tồn tại thông qua các công cụ bổ sung và kỹ thuật di chuyển ngang. Các chuyên gia bảo mật nhấn mạnh rằng sự cố này chứng minh việc vá lỗi một mình không thể giải quyết các cuộc tấn công tinh vi của nhà nước mà thiết lập chỗ đứng sâu trong mạng lưới.
Dòng thời gian tấn công:
- Tháng 4/2025: Chiến dịch bắt đầu
- Tháng 5/2025: Microsoft phát hành các bản vá bảo mật ban đầu
- Tháng 7/2025: Microsoft xác nhận nguồn gốc và phát hành phân tích chi tiết
- Hơn 100 tổ chức bị xâm phạm trên toàn cầu
Bối Cảnh Đe Dọa Mở Rộng Gây Lo Ngại
Charles Carmakal, CTO của Mandiant Consulting tại Google Cloud, cảnh báo rằng mối đe dọa đã phát triển vượt ra ngoài nguồn gốc ban đầu từ Trung Quốc. Nhiều tác nhân đe dọa hiện đang tích cực khai thác các lỗ hổng này, với khoảng thời gian giữa việc phát hiện do nhà nước tài trợ và việc áp dụng rộng rãi của tội phạm đang thu hẹp nhanh chóng. Xu hướng này cho thấy rằng các tổ chức trên toàn thế giới đang đối mặt với một bối cảnh đe dọa mở rộng và ngày càng đa dạng nhắm vào các triển khai SharePoint.
Cần Có Phản Ứng Toàn Diện
Microsoft khuyến nghị hành động ngay lập tức đối với các tổ chức đang chạy máy chủ SharePoint tại chỗ. Các bước quan trọng bao gồm kiểm tra và cô lập các hệ thống SharePoint, đặc biệt là những hệ thống có tiếp xúc bên ngoài, và triển khai giám sát toàn diện cho hành vi mạng bất thường. Các tổ chức cũng phải kích hoạt Microsoft Defender Antivirus hoặc các giải pháp tương đương, cấu hình Antimalware Scan Interface ở Chế độ Đầy đủ, và xoay các khóa máy ASP.NET của máy chủ SharePoint trong khi khởi động lại Internet Information Services.
Các Biện Pháp Bảo Mật Được Khuyến Nghị:
- Áp dụng các bản cập nhật bảo mật SharePoint ngay lập tức
- Kích hoạt Antimalware Scan Interface ( AMSI ) ở Chế độ Đầy đủ
- Triển khai Microsoft Defender for Endpoint hoặc giải pháp tương đương
- Xoay vòng các khóa máy ASP.NET của máy chủ SharePoint
- Khởi động lại Internet Information Services ( IIS )
- Kiểm tra và cách ly các máy chủ SharePoint được tiếp xúc từ bên ngoài
Tác Động Đối Với Các Chiến Lược Bảo Mật Hỗn Hợp
Chiến dịch này phơi bày các lỗ hổng đáng kể trong môi trường CNTT hỗn hợp nơi các hệ thống tại chỗ cũ cùng tồn tại với các triển khai đám mây. Chuyên gia chiến lược bảo mật Gabrielle Hempel từ Exabeam đã lưu ý những điểm tương đồng rõ ràng với các cuộc tấn công máy chủ Exchange năm 2021, nhấn mạnh rằng các triển khai tự lưu trữ vẫn là mục tiêu hấp dẫn do sự chậm trễ trong việc vá lỗi và kiểm soát truy cập không đầy đủ. Sự cố này nhấn mạnh nhu cầu của các tổ chức trong việc suy nghĩ lại cách tiếp cận bảo mật môi trường hỗn hợp vượt ra ngoài các biện pháp phòng thủ tập trung vào chu vi truyền thống.