SharePoint漏洞被利用传播勒索软件

攻击细节

据某机构披露,至少三个疑似与中国关联的黑客组织(Linen Typhoon、Violet Typhoon和Storm-2603)正在利用Microsoft SharePoint公开漏洞实施攻击。攻击者通过远程代码执行(RCE)、凭证伪造和身份验证缺陷等手段入侵本地SharePoint服务器,窃取敏感数据用于监控、伪装或勒索。

某机构在7月上旬和中旬发布了两轮安全补丁(涉及CVE-2025-49704等漏洞),但未修复的系统仍面临Storm-2603部署的勒索软件威胁。

Storm-2603背景

该组织疑似源自中国,曾使用LockBit和Warlock勒索软件。某机构评估其与中国关联的置信度为"中等"。

Warlock勒索软件

据安全机构监测,Warlock属于加密勒索软件,2025年6月首次被发现,已感染美、加、德等近20个国家目标。攻击迹象包括:

  • 恶意IP地址:65.38.121.198
  • 后门文件:IIS_Server_dll.dll
  • 用于远程控制的Web Shell

防护建议

某机构推荐措施:

  1. 立即安装最新安全补丁
  2. 启用强密码策略
  3. 定期测试安全配置
  4. 持续监控IOC指标
  5. 使用某机构防御工具(漏洞管理、外部攻击面管理及Defender XDR订阅)

持续威胁

7月以来,SharePoint面临漏洞披露、紧急补丁和勒索软件攻击三重压力。攻击者仍在寻找新攻击路径,防御需保持高度警惕。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码

posted @ 2025-08-04 14:04  CodeShare  阅读(5)  评论(0)    收藏  举报