SharePoint 漏洞被利用传播勒索软件

攻击细节

据某机构披露，至少三个疑似与中国关联的黑客组织（Linen Typhoon、Violet Typhoon 和 Storm-2603）正在利用 Microsoft SharePoint 公开漏洞实施攻击。攻击者通过远程代码执行（RCE）、凭证伪造和身份验证缺陷等手段入侵本地 SharePoint 服务器，窃取敏感数据用于监控、伪装或勒索。

某机构在 7 月上旬和中旬发布了两轮安全补丁（涉及 CVE-2025-49704 等漏洞），但未修复的系统仍面临 Storm-2603 部署的勒索软件威胁。

Storm-2603 背景

该组织疑似源自中国，曾使用 LockBit 和 Warlock 勒索软件。某机构评估其与中国关联的置信度为"中等"。

Warlock 勒索软件

据安全机构监测，Warlock 属于加密勒索软件，2025 年 6 月首次被发现，已感染美、加、德等近 20 个国家目标。攻击迹象包括：

• 恶意 IP 地址：65.38.121.198

• 后门文件：IIS_Server_dll.dll

• 用于远程控制的 Web Shell

防护建议

某机构推荐措施：

1. 立即安装最新安全补丁

2. 启用强密码策略

3. 定期测试安全配置

4. 持续监控 IOC 指标

5. 使用某机构防御工具（漏洞管理、外部攻击面管理及 Defender XDR 订阅）

持续威胁

7 月以来，SharePoint 面临漏洞披露、紧急补丁和勒索软件攻击三重压力。攻击者仍在寻找新攻击路径，防御需保持高度警惕。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手