中国Salt Typhoon利用SharePoint攻击多国政府

安全研究人员近日表示，包括Salt Typhoon在内的中国黑客组织利用了一个关键的微软SharePoint漏洞，攻击范围比原先认为的更广，目标包括多个大洲的政府机构、电信供应商、大学和金融公司。

博通旗下的赛门铁克和Carbon Black威胁情报分析师发现了更多受害者以及入侵者使用的恶意软件工具，并在周三的报告中公布了这些细节和其他攻击相关信息。

SharePoint攻击向量

今年7月，微软修补了所谓的ToolShell漏洞（CVE-2025-53770），这是一个本地部署SharePoint服务器中的关键远程代码执行漏洞。但在微软修复该漏洞之前，中国攻击者已经发现并将其作为零日漏洞利用，入侵了包括美国能源部在内的400多个组织。

中国网络间谍合作新趋势

趋势科技研究团队表示，他们发现了中国相关组织（特别是Salt Typhoon及其在北京的僵尸网络构建伙伴Flax Typhoon）合作的额外证据，这些合作"乍看之下像是单一的网络安全行动"。

在这些攻击中，Salt Typhoon（又名Earth Estries、FamousSparrow）负责初始入侵，然后将受感染的组织移交给Flax Typhoon（又名Earth Naga）。

趋势科技研究人员表示：“我们称之为’Premier Pass’的现象代表了网络行动中新的协作水平，特别是在中国相关的APT行为者之间。”

攻击者身份与工具

当时，微软将入侵归因于三个中国组织，包括两个政府支持的组织：通常窃取知识产权的Linen Typhoon（又名Emissary Panda、APT27），以及专注于间谍活动、以前政府军事人员和其他高价值个人为目标的Violet Typhoon（又名Zirconium、Judgment Panda、APT31）。

微软还指责一个疑似中国的犯罪组织Storm-2603利用该漏洞向受害者传播Warlock勒索软件。

现在看来，其他北京组织——包括曾入侵美国主要电信公司并窃取几乎所有美国人信息的Salt Typhoon——也参与了这些攻击。

最新受害者发现

周三，赛门铁克和Carbon Black的威胁猎手表示，使用与Salt Typhoon相关恶意软件的中国攻击者在漏洞修补后不久，就利用ToolShell入侵了一家中东电信公司和两个非洲政府部门。

在这三起攻击中，攻击者都使用了Zingdoor，这是一个用Go语言编写的HTTP后门，趋势科技在2023年8月将其归因于Earth Estries/Salt Typhoon的网络间谍活动中首次发现。Zingdoor可收集系统信息、上传下载文件，并在受感染网络上运行任意命令。

攻击者还部署了研究人员认为是ShadowPad木马的程序，并使用了另一个与UNC5221组织相关的后门KrustyLoader，该组织也被认为与中国有关联。

其他攻击途径

报告称：“攻击者最近还侵入了南美洲两个政府机构和美国一所大学的网络。“然而在这些攻击中，入侵者使用了其他漏洞进行初始访问——而非SharePoint CVE——并利用运行Adobe ColdFusion软件的SQL服务器和Apache HTTP服务器来传播恶意软件。

值得注意的是，在南美受害者的案例中，攻击者使用了文件名"mantec.exe”，可能是为了模仿赛门铁克文件名（“symantec.exe”）以隐藏其恶意活动。这个二进制文件（mantec.exe）是用于错误跟踪的合法BugSplat可执行文件副本，被用来侧加载恶意DLL。

Salt Typhoon通常使用DLL侧加载来传播恶意软件。在周一的一份报告中，Darktrace研究人员表示，这个中国支持的黑客组织使用这种技术感染了一家欧洲电信公司。

攻击范围与动机

据博通旗下的安全公司称，同样的SharePoint攻击还入侵了一个非洲国家的州技术机构、一个中东政府部门和一家欧洲金融公司。

研究人员表示，虽然他们"没有足够证据明确将这些活动归因于某个特定组织”，但所有证据都指向中国攻击者，并补充说大量的受害者数量"也值得注意"。

威胁分析师写道：“这可能表明攻击者在对ToolShell漏洞进行大规模扫描后，只对感兴趣的网络进行进一步活动。在目标网络上进行的活动表明，攻击者有兴趣窃取凭证并在受害者网络中建立持久隐蔽的访问权限，很可能用于间谍目的。”

微软拒绝置评。