Khai thác lỗ hổng SharePoint: Nguy cơ mã độc ransomware nghiêm trọng

06/08/2025
3 mins read
Khai thác lỗ hổng SharePoint: Nguy cơ mã độc ransomware nghiêm trọng

Các nhà nghiên cứu của Unit 42 đã phát hiện sự chồng chéo đáng kể giữa chuỗi khai thác ToolShell được Microsoft báo cáo nhằm vào các lỗ hổng SharePoint và một cụm hoạt động được theo dõi có tên CL-CRI-1040. Cụm hoạt động này, đã hoạt động từ ít nhất tháng 3 năm 2025, triển khai một bộ mã độc tùy chỉnh có tên Project AK47. Bộ mã độc này bao gồm các backdoor đa giao thức, mã độc ransomware, và các trình tải sử dụng kỹ thuật DLL side-loading.

Nội dung
Chuỗi Khai thác ToolShell và CL-CRI-1040
Phân tích Mã độc Project AK47
Cơ chế hoạt động của AK47C2
AK47 Ransomware (X2ANYLOCK)
Công cụ và Chiến thuật Xâm nhập
Sử dụng DLL Side-loading
Bộ công cụ bổ sung
Động cơ Tài chính và Sự thay đổi
Các Lỗ hổng SharePoint bị khai thác
IOCs và Biện pháp Phòng ngừa
Chỉ số thỏa hiệp (IOCs)
Khuyến nghị Bảo vệ

Chuỗi Khai thác ToolShell và CL-CRI-1040

Phân tích của Microsoft quy kết hoạt động này cho Storm-2603, một nhóm đối tượng đe dọa bị nghi ngờ có trụ sở tại Trung Quốc. Các liên kết có độ tin cậy cao được thiết lập thông qua các dấu vết trên máy chủ và mạng.

Các hoạt động có động cơ tài chính của CL-CRI-1040 bao gồm các mối liên hệ trước đây với các chi nhánh của LockBit 3.0 và trang tống tiền kép Warlock Client. Tuy nhiên, các mối quan hệ gián điệp không thể bị loại trừ do sự tham gia đồng thời của nhóm đối tượng.

Phân tích hồi cứu cho thấy việc triển khai một IIS backdoor, thường bị lạm dụng trong các cộng đồng nói tiếng Trung. Điều này củng cố thêm khả năng có liên kết với Trung Quốc. Bằng chứng như các Tox ID được chia sẻ cũng liên kết nó với các chiến dịch ransomware.

Phân tích Mã độc Project AK47

Project AK47, được đặt tên theo các đường dẫn tệp PDB lặp lại, bao gồm các dự án con như AK47C2AK47 ransomware.

Cơ chế hoạt động của AK47C2

AK47C2 là một backdoor hỗ trợ các giao thức DNSHTTP thông qua các thành phần dnsclienthttpclient.

  • Phiên bản dnsclient đầu năm 202503 sử dụng JSON được mã hóa XOR qua các subdomain như update.updatemicfosoft[.]com. Dữ liệu được phân mảnh để vượt qua giới hạn truy vấn DNS.
  • Phiên bản 202504 đơn giản hóa thành định dạng không phải JSON với khóa phiên để thực thi lệnh đáng tin cậy và trích xuất kết quả.
  • httpclient phản ánh điều này với các yêu cầu HTTP POST dựa trên curl của các payload JSON được mã hóa.

AK47 Ransomware (X2ANYLOCK)

AK47 ransomware, được biết đến công khai là X2ANYLOCK do phần mở rộng tệp .x2anylock của nó, sử dụng mã hóa lai AES-RSA. Mã độc này chấm dứt các tiến trình, liệt kê các ổ đĩa và thả các ghi chú với một Tox ID nhất quán để đàm phán.

Theo báo cáo của Unit 42 (Unit42 report), ransomware này có khả năng né tránh thông qua kiểm tra dấu thời gian trên các đối tượng cụ thể. Mã độc tự chấm dứt hoạt động sau ngày 6 tháng 6 năm 2026.

Công cụ và Chiến thuật Xâm nhập

Sử dụng DLL Side-loading

Các trình tải lạm dụng kỹ thuật DLL side-loading với các tệp thực thi hợp pháp như 7z.exe để gọi các điểm truy cập của ransomware.

Bộ công cụ bổ sung

Các công cụ bổ sung được tìm thấy trong kho lưu trữ cho thấy một bộ công cụ hack rộng lớn, bao gồm:

  • PyPyKatz
  • SharpHostInfo
  • Masscan
  • PsExec

Sự hiện diện của các droppers LockBit 3.0 xác nhận mối liên kết với các chi nhánh.

Động cơ Tài chính và Sự thay đổi

Sự thay đổi của CL-CRI-1040 từ các hoạt động LockBit 3.0 sang Warlock Client, được chứng minh bằng các cơ sở dữ liệu bị rò rỉ và các Tox ID được chia sẻ, nhấn mạnh động cơ tài chính của nhóm. Tuy nhiên, báo cáo Storm-2603 của Microsoft ghi nhận các triển khai ransomware Warlock trước đây mà không có sự chồng chéo nhị phân trực tiếp.

Các Lỗ hổng SharePoint bị khai thác

Chuỗi ToolShell đã khai thác các lỗ hổng CVE sau đây để phân phối các payload này:

  • CVE-2025-49704
  • CVE-2025-49706
  • CVE-2025-53770
  • CVE-2025-53771

IOCs và Biện pháp Phòng ngừa

Chỉ số thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp liên quan đến nhóm đối tượng và mã độc này bao gồm:

  • Tên mã độc: Project AK47, AK47C2, AK47 ransomware (X2ANYLOCK)
  • Tên nhóm đối tượng/chiến dịch: CL-CRI-1040, Storm-2603
  • Giao tiếp C2 (ví dụ): update.updatemicfosoft[.]com
  • Phần mở rộng tệp mã hóa: .x2anylock
  • Kỹ thuật: DLL side-loading (ví dụ: với 7z.exe), AES-RSA hybrid encryption

Khuyến nghị Bảo vệ

Để giảm thiểu các mối đe dọa như chuỗi khai thác lỗ hổng SharePoint này, các tổ chức nên triển khai các biện pháp bảo vệ toàn diện:

  • Sử dụng các giải pháp phân tích mã độc nâng cao như Advanced WildFire.
  • Triển khai lọc URL và bảo mật DNS nâng cao để chặn các domain độc hại.
  • Áp dụng các nền tảng bảo vệ điểm cuối và phát hiện phản hồi mở rộng (XDR/XSIAM) để phòng thủ toàn diện.
  • Cập nhật bản vá định kỳ cho tất cả các hệ thống, đặc biệt là các ứng dụng SharePoint, để khắc phục kịp thời các lỗ hổng CVE đã biết.

Cụm hoạt động đang phát triển này làm nổi bật sự hợp tác phức tạp giữa các nhóm đối tượng, pha trộn tội phạm mạng với các yếu tố tiềm tàng được nhà nước bảo trợ. Việc hiểu rõ chuỗi khai thác lỗ hổng SharePoint và các chiến thuật liên quan là rất quan trọng để bảo vệ hệ thống.