新闻简报：SharePoint攻击席卷全球

这是网络犯罪分子猖獗的一周，也是防御者面临挑战的一周。数百家组织的Microsoft SharePoint服务器遭到威胁行为者利用关键漏洞攻击，更多恶意黑客加入其中，攻击仍在持续。

与此同时，在FBI大规模打击仅两个月后，Lumma恶意软件即服务运营不仅完全恢复，而且比以往更加隐蔽有效。创新的Coyote银行木马通过武器化Windows无障碍功能对抗用户，突破了新的技术领域。

这些事件共同凸显了当今网络威胁的机会主义、适应性、韧性和创新性——以及及时补丁和频繁安全意识培训等应对措施的至关重要性。

持续SharePoint攻击影响数百家微软客户

使用本地SharePoint服务器的微软客户正面临大规模持续网络攻击浪潮，这些攻击始于7月初，并在过去一周升级。

入侵利用名为ToolShell的攻击链，该链条结合了远程代码注入和网络欺骗漏洞。据报道，攻击者利用这些漏洞入侵了全球数百家SharePoint客户，包括美国国家核安全管理局和国土安全部。

根据微软说法，三个中国国家级威胁行为者在7月初率先发起ToolShell攻击。最近，其中一个组织开始在持续勒索软件攻击中使用该漏洞链。

微软于7月19日发布了紧急带外安全更新。该补丁涵盖SharePoint订阅版、SharePoint 2019和SharePoint 2016。研究人员警告更多威胁行为者可能加入持续攻击活动，使得立即打补丁对所有SharePoint客户至关重要。

这些漏洞不影响Microsoft 365版本的SharePoint Online。

旨在窃取敏感信息（如凭据和加密货币钱包信息）的臭名昭著的Lumma恶意软件在5月被FBI打击后迅速重现。趋势科技研究人员表示，Lumma威胁行为者的活动在6月至7月期间似乎已恢复正常水平，尽管他们的策略变得更加隐蔽和谨慎。

此前，Lumma运营者严重依赖Cloudflare基础设施隐藏其恶意域名。然而，现在他们越来越多地转向不太受美国执法约束的服务提供商，如俄罗斯的Selectel。

Lumma分发方法也在演变，近期攻击使用假冒破解软件、带有欺骗性CAPTCHA页面的ClickFix活动、AI生成的GitHub仓库以及YouTube和Facebook上的社交媒体活动。

自2024年2月以来在拉丁美洲活跃的银行木马Coyote，通过利用Windows UI Automation框架窃取银行凭证，开创了新的攻击方法。这标志着恶意软件滥用这一旨在帮助残障人士与Windows系统交互的合法无障碍功能的首次已知实例。

主要在巴西活动的Coyote针对75家银行和加密货币交易所的用户。该恶意软件通过网络钓鱼邮件中的恶意LNK文件获得初始访问权限，然后监控银行网站的浏览器活动。

Coyote特别危险，因为它能够离线运行并使用UI Automation以比传统方法更可靠的方式从浏览器标签提取敏感信息。它例证了攻击者技术如何持续演进以超越安全措施。