TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Microsoft เปิดเผยว่ากลุ่ม Storm-2603 กำลังใช้ช่องโหว่ SharePoint ในการติดตั้ง Warlock ransomware หลังพบการโจมตีเพิ่มขึ้นตั้งแต่วันที่ 18 กรกฎาคม โดยมีองค์กรที่ถูกโจมตีแล้วกว่า 400 แห่ง
การโจมตี Microsoft SharePoint ได้ยกระดับความรุนแรงขึ้นอย่างเป็นทางการด้วยการติดตั้ง ransomware แล้ว Microsoft ยืนยันว่ากลุ่มผู้โจมตีที่ติดตามในชื่อ Storm-2603 กำลังใช้ช่องโหว่บนเซิร์ฟเวอร์ SharePoint on-premises เพื่อติดตั้ง ransomware โดยก่อนหน้านี้ Microsoft ได้ระบุกลุ่มผู้โจมตี 3 กลุ่มที่กำลังโจมตี SharePoint ได้แก่ Linen Typhoon (หรือ Emissary Panda, APT27) และ Violet Typhoon (หรือ Zirconium, Judgment Panda, APT31) ซึ่งทั้งสองกลุ่มได้รับการสนับสนุนจากรัฐบาลจีน ส่วน Storm-2603 น่าจะมีฐานอยู่ในจีนแต่ไม่จำเป็นต้องเป็นกลุ่มที่รัฐบาลสนับสนุน
จากการวิเคราะห์เพิ่มเติม Microsoft พบว่า Storm-2603 ได้เริ่มโจมตีด้วย Warlock ransomware ตั้งแต่วันที่ 18 กรกฎาคม หลังจากใช้ประโยชน์จากช่องโหว่ที่ได้รับการแพตช์แล้วในเซิร์ฟเวอร์ที่เชื่อมต่ออินเทอร์เน็ต ได้แก่ CVE-2025-49704 ที่อนุญาตให้ทำ unauthenticated remote code execution และ CVE-2025-49706 ซึ่งเป็นช่องโหว่ spoofing กลุ่มผู้โจมตีจะเริ่มด้วยคำสั่งสำรวจระบบหลายคำสั่ง เช่น whoami เพื่อตรวจสอบสิทธิ์ผู้ใช้งาน รวมถึงใช้ cmd.exe และ batch scripts นอกจากนี้ยังใช้ services.exe ในการปิดการป้องกันของ Microsoft Defender ผ่านการแก้ไข registry โดยตรง
ผู้โจมตีสร้างการคงอยู่ในระบบด้วย spinstall0.aspx web shell และสร้าง scheduled tasks รวมถึงจัดการกับส่วนประกอบของ Internet Information Services (IIS) เพื่อโหลด .NET assemblies ทำให้ยังคงเข้าถึงเซิร์ฟเวอร์ได้แม้ช่องโหว่จะถูกแก้ไขแล้ว จากนั้นจะขโมยข้อมูล credential ของผู้ใช้งานด้วย Mimikatz เพื่อดึงข้อมูลจากหน่วยความจำ LSASS ในรูปแบบ plaintext และเคลื่อนย้ายในเครือข่ายด้วย PsExec และ Impacket toolkit โดยรันคำสั่งผ่าน Windows Management Instrumentation (WMI) สุดท้าย Storm-2603 จะแก้ไข Group Policy Objects (GPO) เพื่อกระจาย Warlock ransomware ในสภาพแวดล้อมที่ถูกบุกรุก
ช่องโหว่เหล่านี้ส่งผลกระทบต่อ SharePoint Enterprise Server 2016, SharePoint Server 2019 และ SharePoint Server Subscription Edition โดย Microsoft ได้ออกแพตช์สำหรับทั้งสามเวอร์ชันแล้วเมื่อวันจันทร์ที่ผ่านมา ตามรายงานของ Eye Security มีองค์กรที่ถูกโจมตีแล้วกว่า 400 แห่ง และเมื่อวานนี้กระทรวงพลังงานสหรัฐฯ ได้ยืนยันว่าตนเองและ National Nuclear Security Administration (NNSA) ซึ่งดูแลอาวุธนิวเคลียร์ของอเมริกา เป็นหนึ่งในเหยื่อที่ถูกโจมตี นอกจากนี้ยังมี proof-of-concept exploits สำหรับช่องโหว่เหล่านี้ปล่อยออกมาแล้ว ทำให้ผู้โจมตีมีแบบแผนในการบุกรุกเซิร์ฟเวอร์เหล่านี้
ที่มา: https://www.theregister.com/2025/07/24/microsoft_sharepoint_ransomware/
