勒索软件团伙利用"ToolShell" SharePoint漏洞发动攻击

中国威胁组织Storm-2603已被观察到使用Warlock勒索软件攻击本地SharePoint客户。

这一信息来自微软，该公司于6月23日更新了前一天发布的博客文章，详细说明了三个国家支持的行为者——Linen Typhoon、Violet Typhoon和Storm-2603——如何利用两个漏洞针对本地SharePoint客户：欺骗漏洞CVE-2025-49706和远程代码执行漏洞CVE-2025-49704，以及相关漏洞CVE-2025-53770和CVE-2025-53771。这些漏洞由Viettel网络安全研究人员发现，他们利用名为"ToolShell"的攻击链展示了如何利用这些漏洞。

微软本月早些时候披露这些漏洞正在被利用，随后几天，某些客户（如美国核武器机构）报告遭受了攻击。

这些漏洞影响SharePoint Server Subscription、2019和2016版本，微软已发布补丁来解决这些问题。这些漏洞不影响Microsoft 365中的SharePoint Online。“客户应立即应用这些更新以确保受到保护，“微软表示。

6月23日对其6月22日博客文章的更新详细说明了Storm-2603如何部署Warlock勒索软件。

Warlock攻击

根据微软的说法，最近几天观察到Storm-2603部署勒索软件。虽然这对中国威胁行为者来说并不罕见，但在威胁行为者试图进行间谍活动（Violet Typhoon）和窃取国有知识产权（Linen Typhoon）的行动中，这一点值得注意。

相比之下，尽管观察到Storm-2603部署LockBit和Warlock勒索软件，但微软在其博客中表示，该公司"目前无法自信地评估该威胁行为者的目标”。

勒索软件，如果不是出于破坏性目的部署（如俄罗斯入侵乌克兰期间所见），通常是经济动机攻击者的工具。

微软在其博客文章中表示，Storm-2603于7月18日被发现部署Warlock勒索软件，并且"微软跟踪该威胁行为者与尝试使用本地SharePoint漏洞窃取MachineKeys相关”。

观察到该行为者通过上述漏洞获得初始访问权限；使用发现命令枚举用户上下文并验证权限级别；创建计划任务并操纵Internet信息服务（IIS）组件以获得持久性；通过Mimikatz获取凭据；并通过其他命令横向移动。最后，“然后观察到Storm-2603修改组策略对象（GPO）以在受感染环境中分发Warlock勒索软件，“微软在博客文章中表示。

该公司补充说：“其他行为者将继续使用这些漏洞利用来针对未打补丁的本地SharePoint系统，进一步强调组织需要立即实施缓解措施和安全更新。”

Dark Reading联系微软获取更多信息，但该公司发言人拒绝提供进一步评论。

防御者可以做什么

微软的博客文章包括入侵指标以及大量缓解指导。

除了应用相关的安全更新外，微软建议客户部署有效的端点保护，轮换SharePoint Server ASP.NET机器密钥，使用iisreset.exe重新启动所有SharePoint服务器上的IIS，并实施事件响应计划。博客文章还包括专门针对Microsoft Defender用户的建议。

如果有一个要点，那就是这种漏洞利用似乎刚刚开始升温。“对其他也使用这些漏洞利用的行为者的调查仍在进行中，“微软的帖子写道。“随着这些漏洞利用的快速采用，微软高度自信地评估，威胁行为者将继续将它们整合到针对未打补丁的本地SharePoint系统的攻击中。”