微软SharePoint黑客转向传播勒索软件

根据微软最新报告，针对Microsoft SharePoint的攻击近期升级，威胁行为者开始在易受攻击的系统上部署勒索软件。这一恶意活动激增紧随7月多轮SharePoint安全补丁发布之后。

微软博客更新部分内容指出：“通过持续监控Storm-2603的利用活动，我们扩展了分析和威胁情报，发现其导致Warlock勒索软件的部署。”

详细攻击分析

微软表示，至少三个被认为与中国有关的威胁组织一直在利用Microsoft SharePoint中公开已知的漏洞。这些组织包括Linen Typhoon、Violet Typhoon和Storm-2603。

攻击者利用本地SharePoint服务器的多个弱点——包括远程代码执行（RCE）、凭据欺骗和不当身份验证——来获得未经授权的访问。一旦进入内部，他们能够渗透内部文件系统并窃取敏感数据，这些数据可用于监视、冒充或勒索。

微软在7月初和中旬分两轮发布了补丁，以解决受影响的漏洞——CVE-2025-49704、CVE-2025-49706、CVE-2025-53770和CVE-2025-53771。尽管做出了这些努力，公司警告称，勒索软件现在正在未打补丁的系统上部署，包括由Storm-2603进行的攻击。

虽然Linen Typhoon和Violet Typhoon已知是基于中国的组织，但微软表示对Storm-2603源自中国有“中等信心”。

无论其位于何处，Storm-2603以勒索软件攻击闻名。他们过去使用过LockBit和Warlock勒索软件，后者也用于他们最近对SharePoint的攻击。

根据Watchguard的勒索软件追踪器，Warlock被分类为加密勒索软件，于2025年6月首次检测到。截至本文撰写时，已知有近20名受害者遍布美国、加拿大、德国、中国和其他几个国家。

微软威胁情报识别了几个SharePoint管理员应监控的入侵指标（IOCs）。这些包括已知IP地址65.38.121.198、名为IIS_Server_dll.dll的后门文件，以及Storm-2603用于在服务器上执行远程命令的一系列Web shell。

鉴于Storm-2603及其勒索软件攻击的隐秘性，微软建议安装最新的安全补丁、使用强密码、定期测试安全配置，并持续监控SharePoint服务器是否存在任何已知的IOC。

公司还建议使用Microsoft Defender中的工具，如漏洞管理、外部攻击面管理（EASM），以及活跃的Microsoft Defender XDR订阅。

随着多个漏洞的披露、快速补丁推出以及现在活跃的勒索软件部署，7月对SharePoint用户和防御者来说是一个关键月份。虽然微软继续发布安全修复程序，但新攻击载体的出现表明，坚定的对手可能会继续探测弱点。

AI不仅仅是流行语——在错误的手中它是一种武器。了解攻击者如何使用它以及防御者如何保持领先。