新闻简报：SharePoint攻击席卷全球

本周对网络犯罪分子来说是丰收的一周，对防御者而言则充满挑战。数百家组织发现威胁行为者利用其Microsoft SharePoint服务器中的关键漏洞进行攻击，更多恶意黑客加入其中，攻击仍在持续。

与此同时，在FBI大规模打击行动仅两个月后，Lumma恶意软件即服务运营不仅似乎已完全恢复，而且比以往更加隐蔽和有效。而创新的Coyote银行木马通过将Windows辅助功能武器化来攻击用户，突破了新的技术领域。

这些事件共同凸显了当今网络威胁的机会主义、适应性、韧性和独创性——以及及时修补和频繁安全意识培训等对策的至关重要性。

持续进行的SharePoint攻击影响数百家微软客户

拥有本地SharePoint服务器的微软客户正面临一波大规模持续网络攻击，该攻击始于7月初，并在过去一周升级。

这些入侵利用了一个名为ToolShell的攻击链，该链结合了远程代码注入和网络欺骗漏洞。据报道，攻击者已利用这些漏洞入侵了全球数百家SharePoint客户，包括美国国家核安全局和国土安全部。

根据微软的说法，三个中国国家级威胁行为者在7月初率先发起ToolShell攻击。最近，其中一个组织还开始在持续进行的勒索软件攻击中使用该漏洞链。

微软于7月19日发布了紧急带外安全更新。该补丁覆盖SharePoint Subscription Edition、SharePoint 2019和SharePoint 2016。研究人员警告称，更多威胁行为者可能加入持续的攻击活动，因此对所有SharePoint客户而言立即打补丁至关重要。

这些漏洞不影响Microsoft 365版本的SharePoint Online。

Lumma窃密恶意软件在FBI打击后卷土重来

旨在窃取敏感信息（如凭证和加密货币钱包信息）的臭名昭著的Lumma恶意软件，在5月被FBI打击后迅速重新出现。Trend Micro研究人员表示，Lumma威胁行为者的活动在6月至7月间似乎已恢复正常水平，尽管他们的策略变得更加隐蔽和谨慎。

此前，Lumma运营者严重依赖Cloudflare的基础设施来隐藏其恶意域名。然而，现在他们越来越多地转向受美国执法机构影响较小的提供商，例如位于俄罗斯的Selectel。

Lumma的分发方法也在演变，最近的攻击使用了虚假破解软件、带有欺骗性CAPTCHA页面的ClickFix活动、AI生成的GitHub仓库，以及YouTube和Facebook上的社交媒体活动。

Coyote通过利用Windows UI Automation开辟新天地

自2024年2月以来在拉丁美洲活跃的银行木马Coyote，通过利用Windows UI Automation框架窃取银行凭证，开创了一种新的攻击方法。这标志着首次已知的恶意软件滥用这一旨在帮助残障人士与Windows系统交互的合法辅助功能的实例。

Coyote主要在巴西活跃，针对75家银行和加密货币交易所的用户。该恶意软件通过网络钓鱼邮件中的恶意LNK文件获得初始访问权限，然后监控浏览器活动以寻找银行网站。

Coyote特别危险，因为它能够离线运行，并使用UI Automation以比传统方法更可靠的方式从浏览器标签页提取敏感信息。它例证了攻击者的技术如何持续演变以超越安全措施。