SharePoint漏洞被利用传播勒索软件

攻击细节

据某机构披露，至少三个疑似与中国关联的黑客组织（Linen Typhoon、Violet Typhoon和Storm-2603）正在利用Microsoft SharePoint公开漏洞实施攻击。攻击者通过远程代码执行（RCE）、凭证伪造和身份验证缺陷等手段入侵本地SharePoint服务器，窃取敏感数据用于监控、伪装或勒索。

某机构在7月上旬和中旬发布了两轮安全补丁（涉及CVE-2025-49704等漏洞），但未修复的系统仍面临Storm-2603部署的勒索软件威胁。

Storm-2603背景

该组织疑似源自中国，曾使用LockBit和Warlock勒索软件。某机构评估其与中国关联的置信度为"中等"。

Warlock勒索软件

据安全机构监测，Warlock属于加密勒索软件，2025年6月首次被发现，已感染美、加、德等近20个国家目标。攻击迹象包括：

• 恶意IP地址：65.38.121.198
• 后门文件：IIS_Server_dll.dll
• 用于远程控制的Web Shell

防护建议

某机构推荐措施：

1. 立即安装最新安全补丁
2. 启用强密码策略
3. 定期测试安全配置
4. 持续监控IOC指标
5. 使用某机构防御工具（漏洞管理、外部攻击面管理及Defender XDR订阅）

持续威胁

7月以来，SharePoint面临漏洞披露、紧急补丁和勒索软件攻击三重压力。攻击者仍在寻找新攻击路径，防御需保持高度警惕。