Microsoft cho biết các tin tặc có trụ sở tại Trung Quốc khai thác các lỗ hổng SharePoint quan trọng để triển khai Warlock Ransomware

Microsoft cho biết một nhóm hacker có tên Storm-2603 đang khai thác các lỗ hổng nghiêm trọng trong nền tảng SharePoint của công ty để phát tán ransomware. SharePoint là một nền tảng quản lý nội dung và hợp tác an toàn, được các tổ chức sử dụng để xây dựng các trang web truy cập qua mạng nội bộ.

Những cam kết về tính bảo mật của nền tảng này đã bị suy yếu do các báo cáo cho thấy nhiều nhóm đang khai thác các lỗ hổng. Microsoft cho biết vào ngày 19 tháng 7 rằng họ đã nhận thức được các cuộc tấn công nhắm vào khách hàng của SharePoint Server tại chỗ, khai thác các lỗ hổng đã được giải quyết một phần trong bản Cập nhật Bảo mật tháng 7. Các lỗ hổng này — bao gồm CVE-2025-49704, CVE-2025-49706, và các lỗ hổng vượt qua các bản vá đã được phát hành để khắc phục chúng, CVE-2025-53770 và CVE-2025-53771 — đang được sử dụng để triển khai ransomware Warlock.

Bạn có thể quan tâm đến cuộc xung đột giữa các hacker khi drama của băng nhóm ransomware DragonForce của Nga có thể dẫn đến việc tống tiền gấp đôi. Các cuộc tấn công mạng do nhà nước Trung Quốc thực hiện nhằm vào ngành công nghiệp bán dẫn Đài Loan. Một công cụ bảo mật phổ biến đã bị tội phạm mạng lợi dụng để triển khai malware đánh cắp thông tin. Đội ngũ tình báo mối đe dọa của công ty cho biết vào ngày 22 tháng 7 rằng họ đã phát hiện hai nhóm diễn viên nhà nước Trung Quốc, Linen Typhoon và Violet Typhoon, khai thác các lỗ hổng nhằm vào các máy chủ SharePoint công khai.

Vào ngày 23 tháng 7, Microsoft đã cập nhật báo cáo, cho biết họ đã phát hiện một nhóm hacker từ Trung Quốc, được theo dõi với mã Storm-2603, đang khai thác các lỗ hổng này để triển khai ransomware. Microsoft gán mã cho các nhóm hacker với hậu tố dựa trên quốc gia xuất xứ, như Trung Quốc là Typhoon, Bắc Triều Tiên là Sleet, và theo tính chất hoạt động, như các hoạt động ảnh hưởng được gọi là Flood, còn các nhóm có động cơ tài chính là Tempest.

Các nhóm đang phát triển được gán tiền tố Storm kèm theo một chuỗi số. Trong trường hợp này, mã định danh là Storm-2603. Microsoft đánh giá nhóm Storm-2603 với độ tin cậy trung bình là một tác nhân đe dọa có nguồn gốc từ Trung Quốc. Công ty chưa xác định được mối liên hệ giữa Storm-2603 và các tác nhân đe dọa Trung Quốc khác. Microsoft theo dõi tác nhân này liên quan đến các nỗ lực đánh cắp MachineKeys thông qua các lỗ hổng của SharePoint tại chỗ.

Mặc dù Microsoft đã nhận thấy nhóm tội phạm này triển khai ransomware Warlock và Lockbit trước đây, nhưng hiện tại họ không thể đánh giá chính xác mục tiêu của nhóm này. Từ ngày 18 tháng 7 năm 2025, Microsoft đã phát hiện Storm-2603 triển khai ransomware thông qua các lỗ hổng này. Các tổ chức sử dụng SharePoint nên làm gì để giảm thiểu rủi ro trở thành nạn nhân của Storm-2603? Rất tiếc, không có giải pháp đơn giản. Microsoft khuyên họ nên sử dụng phiên bản mới nhất của nền tảng, điều này thường thấy trong các khuyến cáo, nhưng lời khuyên không chỉ dừng lại ở việc cài đặt vài bản cập nhật.

Đặc biệt là đã có những cách vượt qua một số bản sửa lỗi. Để ngăn chặn các cuộc tấn công không xác thực lợi dụng lỗ hổng này, Microsoft khuyên khách hàng nên tích hợp và kích hoạt Giao diện Quét Phần mềm Độc hại (AMSI) và Microsoft Defender Antivirus hoặc các giải pháp tương đương cho tất cả các triển khai SharePoint tại chỗ, và cấu hình AMSI ở Chế độ Toàn bộ. Khách hàng cũng nên xoay vòng máy chủ SharePoint ASP.

Cần thực hiện các bước như: tạo khóa máy NET, khởi động lại dịch vụ Internet Information Services (IIS) và triển khai Microsoft Defender cho Endpoint hoặc các giải pháp tương đương. Mong đợi sẽ có thêm thông tin về Storm-2603, các tổ chức bị ảnh hưởng bởi lỗ hổng này, khi cuộc điều tra của Microsoft tiếp tục. Theo dõi Toms Hardware trên Google News để nhận tin tức, phân tích và đánh giá mới nhất. Đừng quên bấm nút theo dõi.

Nguồn: www.tomshardware.com/tech-industry/cyber-security/microsoft-says-china-based-hackers-exploiting-critical-sharepoint-vulnerabilities-to-deploy-warlock-ransomware-three-china-affiliated-threat-actors-seen-taking-advantage