Chân dung 3 nhóm hacker đang bị Microsoft để mắt

SharePoint là nền tảng phần mềm do Microsoft phát triển, chủ yếu được sử dụng để lưu trữ, chia sẻ, quản lý tài liệu và hợp tác nội bộ trong các tổ chức, doanh nghiệp. SharePoint giống một mạng nội bộ, nơi mọi người trong công ty có thể truy cập các file tài liệu, chia sẻ thông tin, cộng tác trên cùng một dự án và làm việc nhóm một cách hiệu quả hơn.

1. Linen Typhoon (còn gọi là APT27, Bronze Union, Emissary Panda…)

Linen Typhoon hoạt động từ năm 2012, được Microsoft xác định là nhắm tới các tổ chức trong lĩnh vực chính phủ, quốc phòng, hoạch định chiến lược và nhân quyền để đánh cắp sở hữu trí tuệ.

Nhóm hacker này sử dụng nhiều loại malware (phần mềm độc hại) như SysUpdate, HyperBro, PlugX.

Trong cuộc tấn công mới, Linen Typhoon khai thác lỗ hổng bảo mật zero-day (chưa từng biến đến) để bỏ qua xác thực và thực thi mã từ xa trên các máy chủ SharePoint chưa được vá.

2. Violet Typhoon (còn gọi là APT31, Bronze Vinewood, Zirconium…)

Hoạt động từ năm 2015, Violet Typhoon chủ yếu tập trung vào gián điệp mạng, nhắm tới các mục tiêu như cựu quan chức chính phủ/quân đội, các tổ chức phi chính phủ, viện nghiên cứu, truyền thông, tài chính và y tế ở Mỹ, châu Âu và Đông Á. Nhóm này thường thực hiện quét hạ tầng web, sau đó cài cắm web shell để duy trì quyền truy cập.

Web shell là đoạn mã độc (thường viết bằng ngôn ngữ web như PHP, ASP, ASPX, JSP) được hacker tải lên máy chủ web nhằm mục đích điều khiển hệ thống từ xa qua trình duyệt.

Gần đây, Violet Typhoon cũng khai thác lỗ hổng bảo mật zero-day trên SharePoint để chiếm quyền điều khiển và đánh cắp dữ liệu.

3. Storm‑2603

Microsoft cho biết Storm‑2603 là tác nhân tấn công sống ở Trung Quốc, từng triển khai ransomware (mã độc tống tiền) như Warlock, LockBit.

Trong chuỗi khai thác lỗ hổng bảo mật zero-day, nhóm này bị phát hiện đã đánh cắp MachineKey - phần khóa mã hóa trên máy chủ SharePoint, cho phép chúng duy trì quyền truy cập lâu dài ngay cả sau khi vá lỗi.

Microsoft cáo buộc Linen Typhoon, Violet Typhoon và Storm‑2603 là một phần trong các cuộc tấn công gần đây nhắm vào SharePoint - Ảnh: Internet

Dòng thời gian tấn công

Tháng 5.2025, tại Pwn2Own Berlin, nhà nghiên cứu thuộc đội Viettel Cyber Security của công ty an ninh mạng Viettel đã phát hiện lỗ hổng nghiêm trọng trong SharePoint, đặt tên là ToolShell, và trình diễn cách khai thác nó, theo Reuters. Cụ thể hơn, chuyên gia này khai thác lỗ hổng CVE-2025-49704 (giải tuần tự không an toàn) phối hợp CVE-2025-49706 (giả mạo để qua mặt) để thực thi mã từ xa.

Ngày 9.7, Microsoft phát hành bản vá CVE-2025-49704 và CVE-2025-49706, cho rằng đã khắc phục hoàn toàn chuỗi ToolShell.

Ngày 14.7, nhóm nghiên cứu Code White (Đức) công khai mã khai thác gốc của ToolShell trên mạng xã hội, chứng minh kẻ xấu có thể tận dụng lại lỗ hổng sau bản vá ban đầu.

Ngày 18.7, nhóm nghiên cứu Eye Security (Hà Lan) phát hiện các cuộc tấn công ToolShell đầu tiên ngoài thực tế, chính thức ghi nhận kẻ tấn công đã phá được bản vá cũ và bắt đầu thâm nhập hàng loạt máy chủ SharePoint chưa được vá.

Ngày 20.7, Microsoft công bố phân tích tình huống, cho biết Linen Typhoon, Violet Typhoon cùng Storm-2603 đang tận dụng lỗ hổng mới và gán thêm lỗ hổng CVE-2025-53770 (thực thi mã từ xa) và CVE-2025-53771 (vượt qua cơ chế bảo vệ) cho các biến thể chuỗi khai thác.

CISA liệt CVE-53770 vào danh sách các lỗ hổng bảo mật đã được khai thác ngoài thực tế.

Ngày 21.7, Microsoft phát hành bản vá khẩn cấp cho SharePoint Server 2019 và Subscription Edition, tích hợp bổ sung phần vá cho CVE-53770/53771. Bản vá cho SharePoint 2016 được Microsoft hứa hẹn sớm hoàn thiện. Cùng ngày, gã khổng lồ công nghệ Mỹ thông báo rằng bản vá ngày 8.7 trước đó không loại bỏ hết lỗ hổng và thừa nhận sửa không triệt để.

Các chuyên gia bảo mật cảnh báo rằng nhiều hệ thống chưa vá lỗi bảo mật vẫn đang đối mặt nguy cơ rất cao.

Sơn Vân