攻击细节分析
至少三个被认为与中国有关的威胁组织正在利用某中心SharePoint公开已知漏洞,包括Linen Typhoon、Violet Typhoon和Storm-2603。攻击者通过利用本地SharePoint服务器的远程代码执行(RCE)、凭证欺骗和身份验证不当等弱点获得未授权访问,进而渗透内部文件系统并窃取敏感数据用于监控、冒充或勒索。
某中心在7月上旬和中旬分两批发布了安全补丁,修复了CVE-2025-49704、CVE-2025-49706、CVE-2025-53770和CVE-2025-53771等漏洞。但该公司警告称,未打补丁的系统仍面临勒索软件攻击风险,Storm-2603组织正在此类系统上部署勒索软件。
Storm-2603背景
虽然Linen Typhoon和Violet Typhoon已知源自中国,某中心以"中等置信度"认定Storm-2603同样源自中国。该组织以勒索软件攻击著称,曾使用LockBit和Warlock勒索软件,近期针对SharePoint的攻击中使用了后者。
Warlock勒索软件技术特性
根据安全机构的勒索软件追踪数据,Warlock被归类为加密型勒索软件,于2025年6月首次被发现。截至目前,美国、加拿大、德国、中国等国家已有近20个已知受害者。
某中心威胁情报部门识别出多项需要SharePoint管理员监控的入侵指标(IOC),包括:
- 已知IP地址:65.38.121.198
- 后门文件:IIS_Server_dll.dll
- Storm-2603用于在服务器上执行远程命令的系列Web Shell
防护措施建议
鉴于Storm-2603的攻击隐蔽性,建议采取以下防护措施:
- 安装最新安全补丁
- 使用强密码策略
- 定期测试安全配置
- 持续监控SharePoint服务器是否存在已知IOC
同时推荐使用某中心防御工具套件,包括:
- 漏洞管理功能
- 外部攻击面管理(EASM)
- 激活某中心Defender XDR订阅服务
安全态势总结
随着多个漏洞披露、快速补丁发布以及活跃的勒索软件部署,7月成为SharePoint用户和防御者的关键月份。虽然某中心持续发布安全修复,但新攻击载体的出现表明坚定对手将继续寻找系统弱点。