Kempen serangan siber yang canggih yang menyasarkan pelayan Microsoft SharePoint telah menjejaskan lebih 100 organisasi di seluruh dunia, dengan US National Nuclear Security Administration antara mangsa yang disahkan. Serangan tersebut, yang dikaitkan dengan kumpulan penggodam yang ditaja negara China , mengeksploit kelemahan kritikal dalam penggunaan SharePoint di premis untuk mendapat akses tanpa kebenaran dan mewujudkan kedudukan yang berterusan dalam rangkaian yang disasarkan.
 |
|---|
| Sebuah papan tanda di kampus korporat Microsoft di Redmond, Washington, menunjukkan sumber kelemahan perisian yang dieksploitasi dalam serangan siber baru-baru ini |
Kelemahan Kritikal Membolehkan Kompromi Meluas
Kempen serangan tertumpu pada eksploitasi CVE-2025-53770 , kelemahan pelaksanaan kod jauh yang kritikal dalam SharePoint Server dengan penarafan CVSS sebanyak 9.8. Kelemahan deserialisasi ini membolehkan penyerang menghantar permintaan yang direka khas untuk melaksanakan kod sewenang-wenangnya pada sistem yang terdedah. Keterukan kelemahan ini diperkuatkan oleh penyerang yang menggabungkannya dengan eksploit tambahan, termasuk CVE-2025-49704 dan CVE-2025-49706 , untuk memintas tampung keselamatan yang dikeluarkan oleh Microsoft pada Mei 2025.
Kerentanan Yang Terjejas:
- CVE-2025-53770: Kerentanan pelaksanaan kod jauh yang kritikal (CVSS 9.8)
- CVE-2025-49704: Eksploit berantai yang digunakan untuk memintas tampung
- CVE-2025-49706: Kerentanan tambahan yang digunakan dalam rantaian serangan
Pelaku Ancaman China Menggunakan Perisian Hasad Termaju
Pasukan Microsoft Threat Intelligence telah secara rasmi mengaitkan kempen tersebut kepada beberapa pelaku ancaman berasaskan China , termasuk Linen Typhoon , Violet Typhoon , dan Storm-2603 . Kumpulan-kumpulan ini menggunakan versi yang diubah suai daripada ToolShell , trojan akses jauh yang sebelum ini dikaitkan dengan operasi pengintipan China . Perisian hasad tersebut berintegrasi dengan lancar ke dalam aliran kerja SharePoint , membolehkan penyerang bercampur dengan trafik rangkaian yang sah sambil mengekalkan akses berterusan untuk operasi masa depan.
Pelaku Ancaman yang Dikaitkan:
- Linen Typhoon: Kumpulan berasaskan China dengan sejarah kecurian IP dan pengintipan
- Violet Typhoon: Pelaku tajaan negara China yang menyasarkan kerajaan dan tentera
- Storm-2603: Pelaku ancaman berkaitan China (atribusi keyakinan sederhana)
Sasaran Berprofil Tinggi Termasuk Infrastruktur Kritikal
Skop kompromi melangkaui sasaran korporat biasa. Menurut laporan Bloomberg , penggodam berjaya menceroboh US National Nuclear Security Administration , agensi persekutuan yang bertanggungjawab menguruskan stockpile senjata nuklear Amerika dan sistem propulsi kapal selam. Walaupun pegawai mengesahkan bahawa tiada maklumat sensitif atau sulit yang terjejas, insiden tersebut menyerlahkan tumpuan kempen terhadap infrastruktur kritikal dan entiti kerajaan. The Shadowserver Foundation melaporkan bahawa kebanyakan organisasi yang terjejas terletak di Amerika Syarikat dan Jerman , merangkumi agensi kerajaan, institusi pendidikan, dan syarikat tenaga.
Tampung Terbukti Tidak Mencukupi Terhadap Ancaman Berterusan
Kempen bermula seawal April 2025, dengan beberapa penyerang mendapat akses sebelum tampung tersedia. Walaupun selepas Microsoft mengeluarkan kemas kini keselamatan, banyak sistem yang terjejas kekal terdedah disebabkan keupayaan penyerang untuk mengekalkan kegigihan melalui alat tambahan dan teknik pergerakan sisi. Pakar keselamatan menekankan bahawa insiden ini menunjukkan bagaimana tampung sahaja tidak dapat menangani serangan negara-bangsa yang canggih yang mewujudkan kedudukan rangkaian yang mendalam.
Garis Masa Serangan:
- April 2025: Kempen bermula
- Mei 2025: Microsoft mengeluarkan tampung keselamatan awal
- Julai 2025: Microsoft mengesahkan atribusi dan mengeluarkan analisis terperinci
- Lebih 100 organisasi terjejas di peringkat global
Landskap Ancaman yang Berkembang Menimbulkan Kebimbangan
Charles Carmakal , CTO Mandiant Consulting di Google Cloud , memberi amaran bahawa ancaman telah berkembang melampaui asal-usul China awalnya. Pelbagai pelaku ancaman kini secara aktif mengeksploit kelemahan ini, dengan jendela antara penemuan yang ditaja negara dan penggunaan jenayah yang lebih luas menyusut dengan pantas. Trend ini menunjukkan bahawa organisasi di seluruh dunia menghadapi landskap ancaman yang berkembang dan semakin pelbagai yang menyasarkan penggunaan SharePoint .
Respons Komprehensif Diperlukan
Microsoft mengesyorkan tindakan segera untuk organisasi yang menjalankan pelayan SharePoint di premis. Langkah kritikal termasuk mengaudit dan mengasingkan sistem SharePoint , terutamanya yang mempunyai pendedahan luaran, dan melaksanakan pemantauan komprehensif untuk tingkah laku rangkaian yang luar biasa. Organisasi juga mesti membolehkan Microsoft Defender Antivirus atau penyelesaian setara, mengkonfigurasi Antimalware Scan Interface dalam Mod Penuh, dan memutar kunci mesin ASP.NET pelayan SharePoint sambil memulakan semula Internet Information Services .
Langkah Keselamatan yang Disyorkan:
- Gunakan kemas kini keselamatan SharePoint dengan segera
- Dayakan Antimalware Scan Interface (AMSI) dalam Mod Penuh
- Laksanakan Microsoft Defender for Endpoint atau yang setara
- Putar kunci mesin ASP.NET pelayan SharePoint
- Mulakan semula Internet Information Services (IIS)
- Audit dan asingkan pelayan SharePoint yang terdedah secara luaran
Implikasi untuk Strategi Keselamatan Hibrid
Kempen mendedahkan kelemahan ketara dalam persekitaran IT hibrid di mana sistem lama di premis wujud bersama dengan penggunaan awan. Ahli strategi keselamatan Gabrielle Hempel dari Exabeam menyatakan persamaan yang jelas dengan serangan pelayan Exchange 2021, menekankan bahawa penggunaan yang dihoskan sendiri kekal sebagai sasaran menarik disebabkan kelewatan tampung dan kawalan akses yang tidak mencukupi. Insiden tersebut menggariskan keperluan untuk organisasi memikirkan semula pendekatan mereka untuk mengamankan persekitaran hibrid melampaui pertahanan tradisional yang tertumpu pada perimeter.