Microsoft ชี้ 3 กลุ่มแฮกเกอร์จีนอยู่เบื้องหลังการโจมตี SharePoint อย่างต่อเนื่อง
เรดมอนด์, วอชิงตัน ดี.ซี. – วันที่ 23 กรกฎาคม 2568 – ไมโครซอฟท์ได้ออกมาเปิดเผยอย่างเป็นทางการว่า การโจมตีช่องโหว่ด้านความปลอดภัยบนเซิร์ฟเวอร์ SharePoint ที่เชื่อมต่ออินเทอร์เน็ตนั้น มีความเชื่อมโยงกับกลุ่มแฮกเกอร์ชาวจีน 2 กลุ่ม ได้แก่ Linen Typhoon และ Violet Typhoon ซึ่งเริ่มมีการเคลื่อนไหวตั้งแต่เมื่อวันที่ 7 กรกฎาคม 2568 โดยก่อนหน้านี้มีรายงานที่สอดคล้องกันออกมาแล้ว
บริษัทยักษ์ใหญ่ด้านเทคโนโลยีแห่งนี้ยังระบุด้วยว่า ได้ตรวจพบการดำเนินการของกลุ่มผู้คุกคามรายที่สามจากประเทศจีน ซึ่งไมโครซอฟท์ติดตามในชื่อ Storm-2603 ที่ใช้ช่องโหว่ดังกล่าวเพื่อเจาะเข้าสู่ระบบขององค์กรเป้าหมายด้วยเช่นกัน
"ด้วยการนำช่องโหว่เหล่านี้ไปใช้ประโยชน์อย่างรวดเร็ว ไมโครซอฟท์จึงมั่นใจเป็นอย่างยิ่งว่าผู้คุกคามจะยังคงนำช่องโหว่เหล่านี้ไปใช้ในการโจมตีระบบ SharePoint ที่ไม่ได้ติดตั้งแพทช์ต่อไป" ไมโครซอฟท์ระบุในรายงานที่เผยแพร่วันนี้ โดยมีรายละเอียดเกี่ยวกับกลุ่มผู้คุกคามดังนี้:
Linen Typhoon (หรือรู้จักกันในชื่อ APT27, Bronze Union, Emissary Panda, Iodine, Lucky Mouse, Red Phoenix, และ UNC215) ซึ่งเริ่มเคลื่อนไหวตั้งแต่ปี 2555 และเคยถูกระบุว่าเกี่ยวข้องกับมัลแวร์ตระกูล SysUpdate, HyperBro และ PlugX
Violet Typhoon (หรือรู้จักกันในชื่อ APT31, Bronze Vinewood, Judgement Panda, Red Keres, และ Zirconium) ซึ่งเริ่มเคลื่อนไหวตั้งแต่ปี 2558 และเคยถูกระบุว่าโจมตีเป้าหมายในสหรัฐอเมริกา ฟินแลนด์ และสาธารณรัฐเช็ก
Storm-2603 กลุ่มผู้คุกคามที่ต้องสงสัยว่ามีฐานอยู่ในประเทศจีน ซึ่งเคยใช้แรนซัมแวร์ Warlock และ LockBit ในอดีต
ช่องโหว่เหล่านี้ซึ่งส่งผลกระทบต่อเซิร์ฟเวอร์ SharePoint ที่ติดตั้งภายในองค์กร พบว่าเป็นการใช้ประโยชน์จากการแก้ไขที่ไม่สมบูรณ์สำหรับ CVE-2025-49706 ซึ่งเป็นช่องโหว่การปลอมแปลง (spoofing flaw) และ CVE-2025-49704 ซึ่งเป็นช่องโหว่การรันโค้ดจากระยะไกล (remote code execution bug) โดยช่องโหว่ที่ใช้ในการเลี่ยงการแก้ไขเหล่านี้ได้รับรหัส CVE คือ CVE-2025-53771 และ CVE-2025-53770 ตามลำดับ
ในการโจมตีที่ไมโครซอฟท์ตรวจพบ ผู้คุกคามได้ใช้ช่องโหว่เซิร์ฟเวอร์ SharePoint ที่ติดตั้งภายในองค์กรผ่านคำขอ POST ไปยัง ToolPane endpoint ซึ่งส่งผลให้เกิดการเลี่ยงการยืนยันตัวตนและการรันโค้ดจากระยะไกล
ตามที่ผู้จำหน่ายด้านความปลอดภัยทางไซเบอร์รายอื่น ๆ เปิดเผย สายการติดเชื้อเหล่านี้จะนำไปสู่การติดตั้ง web shell ที่ชื่อว่า "spinstall0.aspx" (หรือที่รู้จักในชื่อ spinstall.aspx, spinstall1.aspx, หรือ spinstall2.aspx) ซึ่งช่วยให้ผู้โจมตีสามารถเรียกดูและขโมยข้อมูล MachineKey ได้
นักวิจัยด้านความปลอดภัยทางไซเบอร์ Rakesh Krishnan กล่าวว่า "มีการเรียกใช้ Microsoft Edge ที่แตกต่างกันสามครั้ง" ในระหว่างการวิเคราะห์ทางนิติวิทยาของการโจมตี SharePoint ซึ่งรวมถึง Network Utility Process, Crashpad Handler และ GPU Process
"แต่ละส่วนมีหน้าที่เฉพาะในสถาปัตยกรรมของ Chromium แต่โดยรวมแล้วแสดงให้เห็นถึงกลยุทธ์การเลียนแบบพฤติกรรมและการหลีกเลี่ยง Sandbox" Krishnan กล่าว พร้อมทั้งเน้นย้ำถึงการใช้ Google's Client Update Protocol (CUP) ของ web shell เพื่อ "ผสมผสานการรับส่งข้อมูลที่เป็นอันตรายเข้ากับการตรวจสอบการอัปเดตที่ไม่เป็นอันตราย"
เพื่อลดความเสี่ยงที่เกิดจากการคุกคามนี้ ผู้ใช้จำเป็นต้องอัปเดต SharePoint Server Subscription Edition, SharePoint Server 2019 และ SharePoint Server 2016 เป็นเวอร์ชันล่าสุด หมุนเวียนคีย์ ASP.NET ของเซิร์ฟเวอร์ SharePoint รีสตาร์ท Internet Information Services (IIS) และติดตั้ง Microsoft Defender for Endpoint หรือโซลูชันที่เทียบเท่า
นอกจากนี้ ขอแนะนำให้รวมและเปิดใช้งาน Antimalware Scan Interface (AMSI) และ Microsoft Defender Antivirus (หรือโซลูชันที่คล้ายกัน) สำหรับการติดตั้ง SharePoint ทั้งหมดที่อยู่ภายในองค์กร และกำหนดค่า AMSI เพื่อเปิดใช้งาน Full Mode
"ผู้คุกคามรายอื่น ๆ อาจใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อโจมตีระบบ SharePoint ที่ยังไม่ได้ติดตั้งแพทช์ ซึ่งยิ่งตอกย้ำถึงความจำเป็นที่องค์กรจะต้องใช้มาตรการบรรเทาและอัปเดตความปลอดภัยโดยทันที" ไมโครซอฟท์กล่าว
แม้ว่าการยืนยันจากไมโครซอฟท์นี้จะเป็นการรณรงค์การแฮกครั้งล่าสุดที่เชื่อมโยงกับจีน แต่ก็เป็นครั้งที่สองแล้วที่ผู้คุกคามที่เกี่ยวข้องกับปักกิ่งได้มุ่งเป้าไปที่ผู้ผลิต Windows ในเดือนมีนาคม 2564 กลุ่มผู้คุกคามที่ติดตามในชื่อ Silk Typhoon (หรือรู้จักกันในชื่อ Hafnium) มีความเชื่อมโยงกับกิจกรรมการโจมตีขนาดใหญ่ที่ใช้ช่องโหว่ Zero-day หลายรายการใน Exchange Server ในเวลานั้น
เมื่อต้นเดือนที่ผ่านมา นาย Xu Zewei พลเมืองจีนวัย 33 ปี ถูกจับกุมในอิตาลี และถูกตั้งข้อหาดำเนินการโจมตีทางไซเบอร์ต่อองค์กรและหน่วยงานรัฐบาลของอเมริกา โดยใช้ช่องโหว่ของ Microsoft Exchange Server ซึ่งเป็นที่รู้จักกันในชื่อ ProxyLogon
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก