การโจมตีช่องโหว่ของ Microsoft SharePoint ยังคงรุนแรง ล่าสุดกลุ่มแรนซัมแวร์ได้เข้าร่วมโจมตีในแคมเปญนี้ โดย Palo Alto Networks พบว่าแรนซัมแวร์สายพันธุ์ใหม่ชื่อ 4L4MD4R ถูกใช้โจมตีผ่านช่องโหว่ชุด ToolShell
แรนซัมแวร์ดังกล่าวสามารถเข้ารหัสไฟล์บนระบบที่ถูกโจมตี และเรียกค่าไถ่ 0.005 Bitcoin พร้อมทิ้งบันทึกข้อความเรียกค่าไถ่ไว้ในเครื่อง
Microsoft และ Google ยืนยันว่าการโจมตีนี้เชื่อมโยงกับกลุ่มแฮ็กเกอร์ที่หนุนหลังโดยรัฐจีน 3 กลุ่ม ได้แก่ Linen Typhoon, Violet Typhoon และ Storm-2603 ซึ่งใช้ช่องโหว่ CVE-2025-49706 และ CVE-2025-49704 (รวมถึงช่องโหว่ย่อย CVE-2025-53770 และ CVE-2025-53771) เพื่อเข้าถึงระบบ
มีเป้าหมายโจมตีทั้งหน่วยงานรัฐ องค์กรใหญ่ และเครือข่ายในหลายประเทศ เช่น สหรัฐฯ ยุโรป และตะวันออกกลาง โดยพบการติดมัลแวร์ในอย่างน้อย 400 เซิร์ฟเวอร์ ครอบคลุม 148 องค์กร
หน่วยงาน CISA สหรัฐฯ ได้ออกคำสั่งให้หน่วยงานรัฐอัปเดตแพตช์ล่าสุดและปิดช่องโหว่ภายใน 24 ชั่วโมง เพื่อป้องกันการโจมตีเพิ่มเติม
สิ่งที่ควรทำทันที
- อัปเดต SharePoint Server ให้เป็นเวอร์ชันล่าสุด
- เปลี่ยนคีย์ MachineKey และรีสตาร์ท IIS
- ติดตั้งและเปิดใช้งาน Microsoft Defender for Endpoint หรือโซลูชันรักษาความปลอดภัยเทียบเท่า
- ตรวจสอบ AMSI และเปิด Full Mode
หากองค์กรของคุณใช้งาน Microsoft 365 สามารถป้องกันและจัดการความปลอดภัยได้ง่ายขึ้นด้วยบริการจาก hostatom ที่ช่วยติดตั้ง ดูแล และให้คำปรึกษาด้านความปลอดภัยครบวงจร เพื่อให้ระบบของคุณปลอดภัยจากภัยไซเบอร์
ที่มา: Bleeping Computer
