非洲组织遭遇大规模Microsoft SharePoint漏洞攻击

南非国家财政部成为南非境内至少六家已知受害机构之一，与其他国家共同遭受针对本地部署Microsoft SharePoint服务器的大规模入侵。

专家指出，随着机会主义威胁行为者利用n-day安全漏洞攻击基础设施和网络，非洲国家正面临日益增多的网络攻击——这一切发生在日益数字化的公共和私营部门尚未修补其软件和系统之前。

6月22日，攻击者瞄准了南非国家财政部，该国至少六家机构据报道因Microsoft SharePoint信息共享与协作软件中四个相关漏洞集合（被称为ToolShell）而遭受持续的n-day攻击。据报告，利用这些漏洞受攻击的南非组织包括"汽车制造业、一所大学、多个地方政府实体和一个联邦政府实体"的受害者，而其他入侵事件发生在非洲岛国毛里求斯和中东的约旦。

Bitdefender技术解决方案总监Martin Zugec表示：“攻击很可能影响了整个非洲大陆的组织，因为ToolShell攻击者似乎是机会主义的，针对任何暴露在互联网上的SharePoint服务器。”

“网络攻击者主要不是因为特定行业或地理位置而针对非洲，而是因为他们机会主义地扫描整个互联网以寻找易受攻击的暴露服务，“他说。“非洲快速扩张的数字基础设施，加上仍在成熟中的网络安全环境，呈现出越来越多的互联网暴露目标。”

ToolShell的Microsoft SharePoint漏洞狂欢

针对本地SharePoint安装的广泛攻击代表了这一趋势的最新活动。

7月初，Microsoft在定期更新中修复了多个SharePoint问题。其中两个安全漏洞（CVE-2025-49706和CVE-2025-49704）于2025年5月在Pwn2Own柏林竞赛期间被发现——后来被一位研究者在X上复制并命名为"ToolShell”，该研究者于7月14日发布了截图。

三天后，多家安全公司检测到使用这些漏洞变体（CVE-2025-53770和CVE-2025-53771）的零日攻击。根据Microsoft发布的分析，初始攻击似乎是三个中国国家行为体——Linen Typhoon、Violet Typhoon和Storm-2603——试图入侵组织的针对性尝试。

与其他国家的组织一样，漏洞变体让许多组织措手不及。网络安全公司ESET的高级恶意软件研究员Anton Cherepanov表示，非洲国家特别脆弱，因为除了成为中国支持的黑客组织目标外，针对性攻击很快让位于更广泛、以经济利益为动机的扫描。

“与Microsoft发布SharePoint漏洞CVE-2025-53770指南同时发生的ToolShell攻击初始浪潮似乎是针对性的，“他说。“虽然我们继续观察到ToolShell活动，包括在非洲，但最近的攻击似乎比针对性更机会主义，特别是在漏洞公开披露之后。”

攻击还遵循威胁研究人员越来越多看到的两阶段模式。攻击者在概念验证（PoC）代码发布后24小时内建立滩头阵地，随后在数周甚至数月后进行手动黑客操作。

非洲：数字机会的网络目标

非洲正在快速扩展其数字基础设施，虽然快速数字化对国家经济有利，但也带来了网络风险。Bitdefender的Zugec表示，经济受限的组织通常认为本地软件版本（如易受攻击的SharePoint本地版本）更具成本效益，但可能无法有效管理其安全性。

“在IT人员劳动力成本显著低于基于云的软件订阅相关重复许可和运营成本的地区尤其如此，“他说。“这一经济因素导致本地部署更普遍，进而可能导致这类漏洞的攻击面更大。”

Zugec表示，公司应部署多个重叠的安全控制层，以便当一层失效时，其他层仍能检测和防止攻击。同时，培养强大的检测和响应能力有助于在发生入侵时限制损害，而主动修补和漏洞管理可以显著减少攻击面。

他表示，公司应持续映射其互联网暴露资产，并对关键漏洞实施快速、优先的修补，同时理解缓解通常需要采取超出仅应用补丁的步骤。

南非国家财政部已请求Microsoft协助识别和解决其基础设施中的潜在漏洞，并指出其信息和通信技术（ICT）团队每天阻止约5,800个安全威胁。