Security

Serangan ToolShell di SharePoint Targetkan Organisasi di Empat Benua

October 23, 2025
2 minutes read

Kelompok peretas yang diyakini berasal dari Tiongkok dilaporkan memanfaatkan celah keamanan ToolShell (CVE-2025-53770) pada Microsoft SharePoint untuk menyerang lembaga pemerintahan, universitas, penyedia telekomunikasi, dan organisasi keuangan di berbagai belahan dunia.

🧩 Celah ToolShell: Zero-Day Berbahaya di SharePoint

Kerentanan ini memengaruhi SharePoint on-premise dan pertama kali diungkap sebagai zero-day yang aktif dieksploitasi pada 20 Juli 2025.
Hanya sehari setelahnya, Microsoft merilis pembaruan darurat (emergency patch) untuk menutup celah tersebut.

ToolShell sendiri merupakan bypass dari dua celah sebelumnya — CVE-2025-49706 dan CVE-2025-49704 — yang sebelumnya dipamerkan oleh tim Viettel Cyber Security di ajang Pwn2Own Berlin pada Mei 2025.
Celah ini memungkinkan eksekusi kode jarak jauh tanpa autentikasi, memberikan akses penuh ke sistem file server korban.

🕵️ Keterlibatan Kelompok Peretas China

Menurut Microsoft, eksploitasi ToolShell sebelumnya telah dikaitkan dengan tiga kelompok ancaman asal Tiongkok:

  • Budworm / Linen Typhoon
  • Sheathminer / Violet Typhoon
  • Storm-2603 / Warlock ransomware

Namun, laporan terbaru dari Symantec (Broadcom) mengungkap bahwa aktivitas eksploitasi lebih luas dari perkiraan, dan kemungkinan melibatkan kelompok Salt Typhoon serta varian ancaman Tiongkok lainnya.

🌍 Target Serangan Tersebar di Empat Benua

Symantec melaporkan korban tersebar di berbagai sektor penting di:

  • 🌐 Timur Tengah: 1 penyedia layanan telekomunikasi & 1 lembaga pemerintah
  • 🌍 Afrika: 2 lembaga pemerintah & 1 badan teknologi negara
  • 🌎 Amerika Selatan: 2 lembaga pemerintah
  • 🇺🇸 Amerika Serikat: 1 universitas
  • 💶 Eropa: 1 perusahaan keuangan

⚙️ Rantai Serangan: Dari Webshell ke Framework Sliver

Kampanye serangan dimulai 21 Juli, tepat setelah eksploitasi CVE-2025-53770 berhasil menanamkan webshell untuk akses permanen.
Tahapan serangan mencakup:

  1. DLL side-loading → memasukkan backdoor Go-based bernama Zingdoor, untuk pengumpulan sistem info & eksekusi perintah jarak jauh.
  2. ShadowPad Trojan → diaktifkan melalui side-loading file antivirus sah seperti Trend Micro & BitDefender.
  3. KrustyLoader (Rust-based) → digunakan untuk men-deploy Sliver framework, alat pasca-eksploitasi populer di kalangan penyerang.
  4. Credential Dumping → memakai ProcDump, Minidump, dan LsassDumper.
  5. Domain Compromise → lewat eksploitasi PetitPotam (CVE-2021-36942).

🧰 Alat & Teknik yang Digunakan

Para penyerang menggunakan kombinasi alat publik dan “living-off-the-land” utilities, antara lain:

  • 🧩 Certutil (Microsoft) untuk enkripsi & transfer file
  • 🔍 GoGo Scanner untuk pemetaan jaringan internal
  • 🔗 Revsocks untuk data exfiltration & command-and-control

Symantec mencatat bahwa penyerang bahkan menyalahgunakan executable resmi Symantec dalam beberapa varian serangan di Amerika Selatan untuk mengelabui deteksi.

🚨 Kesimpulan

Penemuan baru ini menunjukkan bahwa eksploitasi ToolShell (CVE-2025-53770) lebih meluas dari dugaan awal, dengan lebih banyak kelompok ancaman Tiongkok yang ikut memanfaatkan celah tersebut.
Organisasi yang masih menggunakan SharePoint on-premise sangat disarankan untuk:

  • Segera menerapkan patch keamanan terbaru dari Microsoft
  • Menonaktifkan akses publik ke antarmuka administratif
  • Memantau indikator kompromi (IoC) seperti file webshell dan aktivitas abnormal jaringan

Sumber: Symantec (Broadcom), Microsoft, via BleepingComputer

Tags
October 23, 2025
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button