中国Salt Typhoon组织利用SharePoint攻击多国政府

安全研究人员现在表示，比之前认为更多的中国黑客组织——可能包括Salt Typhoon——利用了一个关键的微软SharePoint漏洞，并使用该漏洞攻击了多个大洲的政府机构、电信供应商、一所大学和一家金融公司。

博通旗下的赛门铁克和Carbon Black的威胁情报分析师发现了更多受害者以及入侵者使用的恶意软件工具，并在周三的一份报告中公布了这些和其他攻击细节。

SharePoint攻击向量

今年7月，微软修补了所谓的ToolShell漏洞（CVE-2025-53770），这是一个本地部署SharePoint服务器中的关键远程代码执行漏洞。但在微软修复该漏洞之前，中国攻击者发现并利用它作为零日漏洞，入侵了包括美国能源部在内的400多个组织。

中国网络间谍的新动态

趋势科技的研究团队表示，他们发现了中国相关组织，特别是Salt Typhoon及其在北京的僵尸网络构建伙伴Flax Typhoon，在"乍看之下像是单一网络行动"中合作的额外证据。

在这些攻击中，Salt Typhoon（又名Earth Estries、FamousSparrow）执行初始入侵，然后将受入侵的组织移交给Flax Typhoon（又名Earth Naga）。

趋势科技研究人员表示：“我们称之为’Premier Pass’的这种现象代表了网络行动中新的协调水平，特别是在中国相关的APT行为者之间。”

当时，微软将这些入侵归因于三个中国组织。其中包括两个政府支持的组织：通常窃取知识产权的Linen Typhoon（又名Emissary Panda、APT27），以及专注于间谍活动并针对前政府、军事人员和其他高价值个人的Violet Typhoon（又名Zirconium、Judgment Panda、APT31）。

微软还指责一个疑似中国的犯罪组织Storm-2603利用该漏洞感染受害者的Warlock勒索软件。

现在似乎其他北京组织——包括曾入侵美国主要电信公司并窃取几乎所有美国人信息的Salt Typhoon——也加入了这些攻击。

最新攻击详情

周三，赛门铁克和Carbon Black的威胁猎手表示，使用与Salt Typhoon相关的恶意软件的中国攻击者在漏洞修补后不久就滥用ToolShell入侵了一家中东电信公司和两个非洲政府部门。

在这三起攻击中，攻击者都使用了Zingdoor，这是一个用Go语言编写的HTTP后门，趋势科技在2023年8月的一次网络间谍活动中首次发现，并将其归因于Earth Estries/Salt Typhoon。Zingdoor收集系统信息，上传和下载文件，并在受入侵的网络上运行任意命令。

攻击者还部署了研究人员认为是ShadowPad木马的程序，并使用了另一个与名为UNC5221的组织相关的后门KrustyLoader，该组织也被认为与中国有关联。

其他攻击途径

报告称：“攻击者最近还获得了南美洲两个政府机构和美国一所大学网络的访问权限。”

然而研究人员写道，在这些攻击中，入侵者使用其他漏洞进行初始访问——而不是SharePoint CVE——并利用运行Adobe ColdFusion软件的SQL服务器和Apache HTTP服务器来传递恶意软件。

值得注意的是，在南美受害者的情况下，攻击者使用了文件名"mantec.exe"，可能是为了模仿赛门铁克文件名（“symantec.exe”），以试图隐藏其恶意活动。这个二进制文件（mantec.exe）是用于错误跟踪的合法BugSplat可执行文件的副本，被用于侧加载恶意DLL。

Salt Typhoon通常使用DLL侧加载来传递恶意软件。在周一的一份报告中，Darktrace研究人员表示，这个中国支持的黑客组织使用这种技术感染了一家欧洲电信公司。

更广泛的受害者

根据博通旗下的安全公司，这些相同的SharePoint攻击还入侵了一个非洲国家的州技术机构、一个中东政府部门和一家欧洲金融公司。

研究人员表示，虽然他们"没有足够的证据明确将这些活动归因于一个特定组织"，但所有证据都指向中国攻击者，并补充说大量的受害者数量"也值得注意"。

威胁分析师写道：“这可能表明攻击者在对ToolShell漏洞进行大规模扫描后，只在感兴趣的网络上进行进一步活动。在目标网络上进行的活动表明，攻击者有兴趣窃取凭据并在受害者网络中建立持久和隐蔽的访问权限，可能是为了间谍目的。”

微软拒绝置评。