网络安全周报第30期：XSS论坛被捣毁、Lumma恶意软件卷土重来与SharePoint零日漏洞危机

The Good | 执法部门捣毁XSS.is网络犯罪论坛并发布免费Phobos/8Base解密工具

经过12年的运营，XSS[.]is（前身为DaMaGeLaB）本周遭遇重大打击，其疑似管理员在法国和乌克兰当局领导的联合行动中被捕。这个俄语网络犯罪论坛自2013年以来活跃，拥有近5万名用户，是窃取数据、黑客工具和勒索软件服务的流行枢纽。当局还查封了其明网域名。

来源：TheHackerNews

疑似管理员还与私人消息网站theseccure[.]biz有关联，据信通过广告和促进犯罪交易赚取超过700万欧元。欧洲刑警组织报告称，该管理员在网络犯罪圈活跃近20年，与知名网络犯罪集团保持联系数十年。XSS[.]is还设有托管系统和加密通信功能，强化了其作为非俄罗斯目标网络攻击关键平台的地位，与Exploit等其他论坛齐名。

日本警方发布了针对Phobos和8Base勒索软件受害者的免费解密工具，允许受影响用户恢复加密文件。Phobos自2018年开始活跃，作为勒索软件即服务（RaaS）平台运营，而8Base于2023年推出，使用修改后的加密器并采用双重勒索策略。去年对Phobos的重大国际打击导致关键成员被捕和27台服务器被查封，从而促成了解密工具的创建。

解密工具可在日本警方网站上获取，附有英文说明，也可在Europol的NoMoreRansom门户找到。它支持扩展名如.phobos、.8base、.elbie、.faust和.LIZARD，但执法部门表示它可能也适用于其他变种。鼓励用户进行测试，因为它可能解密其他变种。

The Bad | Lumma MaaS在打击后重建运营，采用新策略逃避检测

尽管基础设施遭到破坏，但自5月执法部门采取重大行动以来，Lumma信息窃取操作正在稳步恢复势头。虽然打击行动显著影响了该恶意软件即服务（MaaS）平台，但Lumma从未完全关闭。其操作员迅速在网络犯罪论坛上应对中断，声称他们的中央服务器未被查封（尽管被远程擦除），并且恢复工作已在进展中。

截至目前，安全研究人员指出Lumma几乎恢复到打击前的水平，遥测数据证实其基础设施正在快速重建。最新更新包括从Cloudflare转向俄罗斯提供商Selectel，可能是为了逃避未来的打击。然而，该MaaS继续使用合法的云基础设施来伪装恶意活动。

Lumma通过四个主要渠道恢复了运营。首先，通过恶意广告推广虚假软件破解和密钥生成器，将用户引导至使用流量检测系统（TDS）进行设备指纹识别的欺骗性网站。使用ClickFix，Lumma利用被入侵的网站显示虚假CAPTCHA页面，诱骗访问者执行PowerShell命令，从而将Lumma直接注入系统内存以避免基于文件的检测。

另一种分发方法涉及Lumma攻击者设置GitHub仓库，填充AI生成的内容，广告虚假游戏作弊工具，其中Lumma有效负载隐藏在可执行文件或ZIP档案中。最后，YouTube视频和Facebook帖子广告破解软件，链接到外部下载站点。其中一些托管在可信平台上，如sites.google.com，以增加可信度。

来源：Trend Micro

Lumma的重新出现反映了仅靠基础设施查封是不够的。没有逮捕或起诉，网络战争机器继续运转，威胁行为者将继续将此类打击视为对有利可图企业的临时干扰。

The Ugly | CISA命令紧急修补SharePoint，微软确认ToolShell漏洞利用

上周末，微软确认本地SharePoint服务器中存在一个零日漏洞（被称为“ToolShell”，CVE-2025-53770）以及一个绕过变种（跟踪为CVE-2025-53771）正在被主动利用。这些漏洞与较早修补的漏洞（CVE-2025-49704/49706）一起形成了一个未经身份验证的远程代码执行（RCE）链，专注于通过精心制作的POST请求利用/ToolPane.aspx URI。已为SharePoint订阅版和Server 2019发布紧急补丁，2016版的更新待定。

虽然最初的攻击是定向的，但随着PoC代码的传播，预计会出现更广泛的利用。SentinelOne关于攻击的报告指出，攻击者设置蜜罐并共享工具，表明威胁行为者的兴趣日益增长。现在，CISA已将CVE添加到其KEV目录中， citing confirmed exploitation，并命令联邦机构立即修复受影响系统。微软此后将ToolShell攻击与疑似中国威胁行为者联系起来，包括Linen Typhoon和Violet Typhoon，他们早在7月7日就开始针对本地SharePoint服务器。

更新：查看我们#ToolShell警报的新增信息。我们包含了勒索软件部署信息、利用中涉及的新Webshell以及检测指南👉 https://t.co/Y37FHSeAL0 pic.twitter.com/C5aMXNOmAU — CISA Cyber (@CISACyber) 2025年7月24日

鉴于ToolShell的严重性，强烈建议组织采用分层防御策略。关键建议包括将本地SharePoint服务器与公共互联网访问隔离以减少暴露，在完整模式下启用反恶意软件扫描接口（AMSI）以支持端点检测，以及立即应用微软的最新补丁。还应通过将ToolShell特定的妥协指标（IOC）集成到EDR/XDR和SIEM系统中来增强检测，并部署自定义规则以监控SharePoint目录，如LAYOUTS。

CISA正在继续与微软、联邦机构和本地合作伙伴协调，以评估影响的全面范围。到目前为止，据报道已有约400个组织（包括政府机构）被入侵，表明迫切需要快速缓解。