攻击细节分析

据微软披露，至少三个疑似与中国有关的威胁组织（Linen Typhoon、Violet Typhoon和Storm-2603）正在利用微软SharePoint的公开已知漏洞。攻击者通过本地SharePoint服务器的多个弱点——包括远程代码执行（RCE）、凭证欺骗和身份验证不当——获得未授权访问。入侵后，他们能够渗透内部文件系统并窃取敏感数据，用于监控、冒充或勒索。

微软在7月上旬和中旬分两批发布了安全补丁，修复了相关漏洞（CVE-2025-49704、CVE-2025-49706、CVE-2025-53770和CVE-2025-53771）。但公司警告称，未打补丁的系统仍面临勒索软件部署风险，Storm-2603组织正在活跃利用。

Storm-2603背景

虽然Linen Typhoon和Violet Typhoon已知源自中国，微软对Storm-2603也持有“中等信心”认定其来自中国。该组织以勒索软件攻击闻名，曾使用LockBit和Warlock勒索软件，后者在最近对SharePoint的攻击中再次被使用。

Warlock勒索软件技术特性

根据Watchguard的勒索软件追踪器，Warlock被归类为加密勒索软件，于2025年6月首次检测到。截至目前，美国、加拿大、德国、中国等近20个受害者已被确认。

微软威胁情报部门识别了多个入侵指标（IOC），供SharePoint管理员监控：

• 已知IP地址：65.38.121.198
• 后门文件：IIS_Server_dll.dll
• Storm-2603用于在服务器上执行远程命令的一系列Web Shell

系统防护建议

针对Storm-2603和Warlock的隐蔽攻击，微软推荐采取以下技术措施：

• 安装最新安全补丁
• 使用强密码
• 定期测试安全配置
• 持续监控SharePoint服务器是否存在已知IOC

此外，建议利用Microsoft Defender中的工具：

• 漏洞管理（Vulnerability Management）
• 外部攻击面管理（EASM）
• 激活Microsoft Defender XDR订阅

持续的安全对抗

随着多个漏洞披露、快速补丁发布以及活跃的勒索软件部署，7月对SharePoint用户和防御者而言是关键月份。微软虽持续发布安全修复，但新攻击向量的出现表明，坚定对手很可能继续探测弱点。