新闻简报：SharePoint攻击席卷全球

对网络犯罪分子而言，这是标志性的一周；对防御者来说，则是充满挑战的一周。数百家组织目睹了威胁行为者利用其微软SharePoint服务器中的关键漏洞，更多恶意黑客加入其中，攻击仍在持续。

与此同时，在FBI一次重大打击行动仅两个月后，Lumma恶意软件即服务（MaaS）运作不仅似乎已完全恢复，而且比以往更加隐秘、高效。此外，创新的Coyote银行木马通过将Windows无障碍功能武器化来针对用户，在技术上取得了新突破。

这些事件共同凸显了当今网络威胁的机会主义、适应性、复原力和独创性，以及及时修补漏洞、频繁进行安全意识培训等应对措施的至关重要性。

持续的SharePoint攻击波及数百家微软客户

拥有本地部署SharePoint服务器的微软客户正面临着一波始于7月初、并在过去一周内升级的大规模持续网络攻击。

这些入侵利用了名为“ToolShell”的攻击链，该攻击链结合了远程代码注入和网络欺骗漏洞。据报道，攻击者已利用这些漏洞入侵了全球数百家SharePoint客户，包括美国国家核安全局和国土安全部。

据微软称，三个中国国家级威胁行为者是最早在7月初发起ToolShell攻击的。最近，其中一个组织还开始在持续的勒索软件攻击中使用这一漏洞链。

微软于7月19日发布了紧急带外安全更新。该补丁涵盖SharePoint订阅版、SharePoint 2019和SharePoint 2016。研究人员警告称，更多威胁行为者可能会加入持续的攻击活动中，因此对所有SharePoint客户而言，立即打补丁至关重要。

这些漏洞不影响Microsoft 365版本的SharePoint Online。

臭名昭著的Lumma恶意软件——旨在窃取凭证和加密货币钱包信息等敏感信息——在5月份被FBI打击后迅速重新浮现。趋势科技研究人员表示，尽管攻击者的策略变得更加隐蔽和谨慎，但其活动水平在6月至7月间似乎已恢复正常水平。

此前，Lumma运营商严重依赖Cloudflare的基础设施来隐藏其恶意域名。然而，现在他们越来越多地转向那些较少受美国执法部门约束的服务提供商，例如总部位于俄罗斯的Selectel。

Lumma的传播方式也在演变，最近的攻击使用了伪造的破解软件、带有欺骗性验证码页面的ClickFix活动、AI生成的GitHub仓库，以及YouTube和Facebook上的社交媒体活动。

自2024年2月以来活跃于拉丁美洲的银行木马Coyote，通过利用Windows UI Automation框架窃取银行凭证，开创了一种新的攻击方法。这标志着首次有已知的恶意软件滥用了这一旨在帮助残障人士与Windows系统交互的合法无障碍功能。

主要在巴西活动的Coyote，已经针对75家银行和加密货币交易所的用户。该恶意软件通过钓鱼邮件中的恶意LNK文件获得初始访问权限，然后监控浏览器中的银行网站活动。

Coyote尤其危险，因为它能够离线操作，并使用UI Automation以比传统方法更可靠的方式从浏览器标签页中提取敏感信息。它例证了攻击者的技术如何持续演变以超越安全措施。