中国威胁组织在微软7月补丁发布数周后利用ToolShell SharePoint漏洞

据Broadcom旗下Symantec威胁猎人团队报告，与中国有关联的威胁行为者利用Microsoft SharePoint中的ToolShell安全漏洞，在2025年7月该漏洞公开披露并修补后，入侵了中东一家电信公司。

其他目标包括非洲某国政府部门、南美政府机构、美国一所大学，以及可能包括非洲某国州立技术机构、中东某政府部门和欧洲某金融公司。

攻击涉及利用CVE-2025-53770漏洞，这是一个现已修补的本地SharePoint服务器安全缺陷，可用于绕过身份验证并实现远程代码执行。

CVE-2025-53770被评估为CVE-2025-49704和CVE-2025-49706的补丁绕过，已被三个中国威胁组织武器化为零日漏洞，包括Linen Typhoon（又名Budworm）、Violet Typhoon（又名Sheathminer）和Storm-2603，后者与最近几个月部署Warlock、LockBit和Babuk勒索软件家族有关。

然而，Symantec的最新发现表明，更广泛的中国威胁行为者滥用了该漏洞。包括Salt Typhoon（又名Glowworm）黑客组织，据称其利用ToolShell漏洞针对电信实体和非洲两个政府机构部署了Zingdoor、ShadowPad和KrustyLoader等工具。

KrustyLoader由Synacktiv于2024年1月首次详细说明，是一个基于Rust的加载程序，此前被中国关联间谍组织UNC5221在利用Ivanti Endpoint Manager Mobile（EPMM）和SAP NetWeaver漏洞的攻击中使用。

针对南美政府机构和美国大学的攻击，则涉及使用未指定漏洞获得初始访问权限，随后利用运行Adobe ColdFusion软件的SQL服务器和Apache HTTP服务器，通过DLL侧加载技术传递恶意载荷。

在某些事件中，攻击者被观察到执行CVE-2021-36942（又名PetitPotam）漏洞利用进行权限提升和域入侵，同时使用多种现成的和"就地取材"（LotL）工具来促进受感染系统上的扫描、文件下载和凭据窃取。

Symantec表示：“这类活动与先前归因于Glowworm的活动在受害者类型和部分使用工具方面存在一些重叠。然而，我们没有足够证据明确归因于某个特定组织，但可以说所有证据都指向其背后是中国境内的威胁行为者。”

“在目标网络上进行的活动表明，攻击者有兴趣窃取凭据并在受害者网络中建立持久隐蔽的访问权限，很可能出于间谍目的。”