中東電信業者遭駭，中國駭客利用ToolShell入侵網路環境

今年7月出現零時差漏洞攻擊的SharePoint資安漏洞ToolShell（CVE-2025-53770），最近有資安業者指出，在漏洞公布不久後，有中國駭客利用該漏洞對中東地區的電信業者發動攻擊，突顯這項零時差漏洞造成的災情，還有可能再擴大。

資安業者賽門鐵克指出，他們發現有人在7月21日入侵一家中東電信公司，時間點剛好是微軟發布ToolShell修補程式的兩天後。一旦攻擊者成功滲透SharePoint伺服器，就部署了疑為Web Shell的作案工具。

接著，攻擊者利用趨勢科技的二進位檔案進行側載，在受害者的網路環境載入後門程式Zingdoor，進而收集系統資訊、上傳和下載檔案，以及在受害組織網路環境執行任意命令。Zingdoor是運用Go語言打造的HTTP後門程式，最早在2023年4月出現，巧合的是，首度公布該惡意程式的資安業者，就是趨勢科技。

賽門鐵克發現攻擊者也部署RAT木馬ShadowPad，其啟動的方式也是透過側載進行，而遭到濫用的二進位檔案，來自另一家資安業者Bitdefender。

在4天後，攻擊者又再度活動，投放名為KrustyLoader的惡意程式載入工具。此工具以Rust打造而成，主要的功能是傳送第二階段有效酬載。賽門鐵克提及，該工具通常與中國駭客的活動有關，且通常會部署滲透測試框架Sliver，但這次是否也是同樣利用KrustyLoader部署該框架？賽門鐵克並未說明。

附帶一提的是，攻擊者也透過多項現成或能夠公開取得的工具，進行寄生攻擊（LOLBins），這些工具包括：Certutil、GoGo Scanner、Revsocks、Procdump、Minidump，以及LsassDumper。此外，他們也試圖利用資安漏洞PetitPotam（CVE-2021-36942），從Windows伺服器竊取帳密資料，以便權限提升或是橫向移動。

值得留意的是，這些中國駭客還試圖攻擊非洲、南美洲及中東的政府部門，以及美國大學、非洲國家研究機構、歐洲金融公司，只是駭客取得初期入侵的管道，不盡相同。