Hackers associados à China estão a explorar ativamente a vulnerabilidade ToolShell no Microsoft SharePoint para lançar ataques direcionados a uma vasta gama de organizações a nível mundial. Um novo relatório da Symantec, uma divisão da Broadcom, revela que a escala destes ataques é maior do que se pensava, envolvendo mais grupos de piratas informáticos do que os inicialmente identificados pela Microsoft.
A falha de segurança, identificada como CVE-2025-53770, afeta servidores SharePoint locais (on-premise) e foi divulgada como uma vulnerabilidade "zero-day" ativamente explorada a 20 de julho. A Microsoft agiu rapidamente e lançou atualizações de emergência no dia seguinte, mas não antes de vários grupos de hackers terem aproveitado a brecha. A vulnerabilidade é particularmente perigosa, pois permite a execução remota de código e o acesso total ao sistema de ficheiros sem necessidade de autenticação.
Segundo o relatório da Symantec, os ciberataques comprometeram organizações no Médio Oriente, América do Sul, Estados Unidos e África. A lista de vítimas é diversificada, incluindo fornecedores de serviços de telecomunicações, departamentos governamentais, agências de tecnologia estatais, uma universidade e uma empresa financeira europeia. A atividade maliciosa é agora associada ao grupo de hackers chinês Salt Typhoon, alargando o leque de suspeitos inicialmente divulgado pela Microsoft.
A complexa caixa de ferramentas dos atacantes
A análise da Symantec detalha um ataque multifásico e sofisticado. Após explorarem a vulnerabilidade para instalar webshells e garantirem acesso persistente, os atacantes implementaram um backdoor baseado em Go, chamado Zingdoor. Este malware é capaz de recolher informações do sistema, manipular ficheiros e executar comandos remotamente, dando controlo aos invasores.
A cadeia de ataque continuou com técnicas de DLL side-loading, usando executáveis legítimos da Trend Micro e da BitDefender para disfarçar a atividade maliciosa e iludir as defesas de segurança. Desta forma, conseguiram executar o trojan ShadowPad e a ferramenta KrustyLoader, que por sua vez implementou o Sliver, uma conhecida framework de pós-exploração.
Para escalar privilégios e exfiltrar dados, os atacantes utilizaram ferramentas para roubo de credenciais, como o ProcDump e o Minidump, e exploraram a vulnerabilidade PetitPotam (CVE-2021-36942) para comprometer domínios inteiros. A investigação demonstra que a exploração da falha ToolShell foi mais abrangente do que se sabia, indicando uma campanha de ciberespionagem bem orquestrada e executada por um conjunto alargado de atores ligados à China.
Nenhum comentário
Seja o primeiro!