新闻简报：SharePoint攻击席卷全球

对网络犯罪分子而言这是标志性的一周，对防御者则是充满挑战的一周。数百家组织目睹威胁行为者利用其Microsoft SharePoint服务器中的关键漏洞，更多恶意黑客加入其中，攻击仍在持续。

与此同时，在FBI大规模打击行动仅两个月后，Lumma恶意软件即服务运营不仅似乎已完全恢复，而且比以往更加隐蔽和有效。而创新的Coyote银行木马通过将Windows无障碍功能武器化来攻击用户，突破了新的技术领域。

这些事件共同凸显了当今网络威胁的机会主义、适应性、韧性和创造性——以及及时修补和频繁安全意识培训等应对措施的至关重要性。

持续SharePoint攻击影响数百家微软客户

拥有本地SharePoint服务器的微软客户正面临大规模持续网络攻击浪潮，该攻击始于7月初并在过去一周升级。

入侵利用名为ToolShell的攻击链，该链结合了远程代码注入和网络欺骗漏洞。据报道，攻击者已利用这些漏洞入侵全球数百家SharePoint客户，包括美国国家核安全管理局和国土安全部。

据微软称，三个中国国家级威胁行为者于7月初率先发起ToolShell攻击。最近，其中一个组织还开始在持续勒索软件攻击中使用该漏洞链。

微软于7月19日发布了紧急带外安全更新。该补丁涵盖SharePoint订阅版、SharePoint 2019和SharePoint 2016。研究人员警告称，更多威胁行为者可能加入持续攻击活动，使得立即修补对所有SharePoint客户至关重要。

这些漏洞不影响Microsoft 365版本的SharePoint Online。

Lumma窃密软件在FBI打击后卷土重来

旨在窃取敏感信息（如凭证和加密货币钱包信息）的臭名昭著的Lumma恶意软件，在5月被FBI打击后迅速重新出现。趋势科技研究人员表示，Lumma威胁行为者的活动在6月至7月期间似乎已恢复正常水平，尽管他们的策略变得更加隐蔽和谨慎。

此前，Lumma运营商严重依赖Cloudflare的基础设施来隐藏其恶意域名。然而，现在他们越来越多地转向不太受美国执法约束的服务提供商，如俄罗斯的Selectel。

Lumma分发方法也在演变，最近的攻击使用虚假破解软件、带有欺骗性CAPTCHA页面的ClickFix活动、AI生成的GitHub仓库，以及YouTube和Facebook上的社交媒体活动。

Coyote通过利用Windows UI Automation开辟新天地

自2024年2月以来在拉丁美洲活跃的银行木马Coyote，通过利用Windows UI Automation框架窃取银行凭证，开创了新的攻击方法。这标志着已知的首例恶意软件滥用此旨在帮助残障人士与Windows系统交互的合法无障碍功能。

主要在巴西活跃的Coyote已针对75家银行和加密货币交易所的用户。该恶意软件通过网络钓鱼邮件中的恶意LNK文件获得初始访问权限，然后监控银行网站的浏览器活动。

Coyote特别危险，因为它能够离线运行并使用UI Automation以比传统方法更可靠的方式从浏览器标签页提取敏感信息。它例证了攻击者的技术如何持续演变以超越安全措施。