Hackeři pravděpodobně spojení s Čínou využili zranitelnost ToolShell (CVE-2025-53770) v Microsoft SharePoint při útocích zaměřených na vládní agentury, univerzity, poskytovatele telekomunikačních služeb a finanční organizace.
Bezpečnostní chyba postihuje on-premise SharePoint servery a byla zveřejněna jako aktivně zneužívaná zero-day zranitelnost 20. července, poté co ji několik hackerských skupin napojených na Čínu využilo v rozsáhlých útocích. Microsoft vydal nouzové aktualizace následující den.
Problém představuje obejití zranitelností CVE-2025-49706 a CVE-2025-49704, dvou chyb, které výzkumníci z Viettel Cyber Security demonstrovali na hackerské soutěži Pwn2Own Berlin v květnu. Lze je vzdáleně zneužít bez autentizace pro spuštění kódu a získání plného přístupu k souborovému systému.
Microsoft dříve uvedl, že ToolShell zneužily tři čínské hrozivé skupiny: Budworm/Linen Typhoon, Sheathminer/Violet Typhoon a Storm-2603/Warlock ransomware.
V dnešní zprávě společnost Symantec, součást Broadcom, uvádí, že ToolShell byl použit ke kompromitaci různých organizací na Blízkém východě, v Jižní Americe, USA a Africe. Kampaně využívaly malware typicky spojovaný s čínskými hackery Salt Typhoon.
Aktivita u telekomunikační firmy, která je předmětem zprávy Symantec, začala 21. července zneužitím CVE-2025-53770 k umístění webshellů umožňujících trvalý přístup.
Následovalo DLL side-loading backdooru založeného na Go s názvem Zingdoor, který dokáže sbírat systémové informace, provádět operace se soubory a také umožňovat vzdálené spouštění příkazů.
Poté další krok side-loadingu spustil „něco, co se zdá být trojským koněm ShadowPad,“ uvedli výzkumníci a dodali, že akci následovalo umístění nástroje KrustyLoader založeného na Rust, který nakonec nasadil open-source framework pro post-exploitaci Sliver.
Výzkumníci poznamenávají, že seznam veřejně dostupných nástrojů a nástrojů living-off-the-land použitých při útocích zahrnoval utilitu Certutil od Microsoftu, GoGo Scanner (red-team skenovací engine) a utilitu Revsocks, která umožňuje exfiltraci dat, command-and-control a persistenci na kompromitovaném zařízení.
Symantec uvádí, že jejich zjištění naznačují, že zranitelnost ToolShell byla zneužita větší skupinou čínských hrozivých aktérů, než bylo dříve známo.
Zdroj: bleepingcomputer.com
Zdroj: IT SECURITY NETWORK NEWS
