非洲组织遭遇大规模Microsoft SharePoint漏洞攻击

南非国家财政部是南非已知的六名受害者之一，与其他国家一样，成为本地部署Microsoft SharePoint服务器大规模入侵事件的受害者。

专家表示，随着机会主义威胁行为者利用n-day安全漏洞在日益数字化的公共和私营部门修补软件和系统之前瞄准基础设施和网络，非洲国家发现自己面临越来越多的网络攻击。

6月22日，攻击者瞄准了南非国家财政部，据报道，该国至少有六家组织因Microsoft SharePoint信息共享和协作软件（称为ToolShell）中四个相关漏洞集合的持续n-day攻击而受到影响。据报道，利用这些漏洞攻击的南非组织受害者包括"汽车制造业、一所大学、几个地方政府实体和一个联邦政府实体"，而其他入侵事件发生在非洲岛国毛里求斯和中东的约旦。

Bitdefender技术解决方案总监Martin Zugec表示，攻击很可能影响了整个非洲大陆的组织，因为ToolShell攻击者似乎是机会主义的，针对任何暴露在互联网上的SharePoint服务器。

“网络攻击者主要不是针对非洲的特定行业或地理区域，而是因为他们正在机会主义地扫描整个互联网以寻找易受攻击的暴露服务，“他说。“非洲快速扩张的数字基础设施，加上仍在成熟中的网络安全环境，呈现出越来越多的互联网暴露目标。”

ToolShell的Microsoft SharePoint漏洞利用狂潮

对本地SharePoint安装的广泛攻击代表了这一趋势中的最新活动。

7月初，在其定期安排的更新期间，Microsoft修复了许多SharePoint问题。其中两个安全漏洞（CVE-2025-49706和CVE-2025-49704）是在2025年5月的Pwn2Own Berlin竞赛期间发现的——后来由一位研究者在X上复制并命名为"ToolShell”，该研究者于7月14日发布了截图。

三天后，多家安全公司检测到使用这些漏洞变体（CVE-2025-53770和CVE-2025-53771）的零日攻击。根据Microsoft发布的分析，最初的攻击似乎是三个中国国家行为者——Linen Typhoon、Violet Typhoon和Storm-2603——试图入侵组织的针对性尝试。

与其他国家的组织一样，漏洞变体让许多组织措手不及。网络安全公司ESET的高级恶意软件研究员Anton Cherepanov表示，非洲国家尤其脆弱，因为除了成为中国支持的黑客组织的目标外，针对性攻击很快让位于更广泛、以经济利益为动机的扫描。

“与Microsoft发布SharePoint漏洞CVE-2025-53770指南同时发生的ToolShell攻击初始浪潮似乎是针对性的，“他说。“虽然我们继续观察到ToolShell活动，包括在非洲，但最近的攻击似乎比针对性更机会主义，尤其是在漏洞公开披露之后。”

攻击还遵循威胁研究人员越来越多地看到的两个阶段模式。攻击者在概念验证（PoC）代码发布后24小时内建立滩头阵地，随后在数周甚至数月后进行手动黑客操作。

非洲：数字机会的网络目标

非洲正在快速扩张其数字基础设施，虽然快速数字化对各国经济有利，但也带来了网络风险。Bitdefender的Zugec表示，经济受限的组织通常认为本地软件版本（如易受攻击的SharePoint本地版本）更具成本效益，但可能无法有效管理其安全性。

“在IT人员劳动力成本显著低于基于云软件订阅的经常性许可和运营成本的地区尤其如此，“他说。“这一经济因素导致本地部署的普及率更高，这反过来可能导致这些类型漏洞的攻击面更大。”

Zugec表示，公司应部署多个重叠的安全控制层，以便当一层失败时，其他层仍能检测和防止攻击。同时，培养强大的检测和响应能力有助于在发生入侵时限制损害，而主动修补和漏洞管理可以显著减少攻击面。

他表示，公司应持续映射其互联网暴露的资产，并对关键漏洞实施快速、优先的修补，同时理解缓解通常需要除应用补丁之外的步骤。

南非国家财政部已请求Microsoft协助识别和解决其基础设施中的潜在漏洞，并指出其信息和通信技术（ICT）团队每天阻止约5,800个安全威胁。