某中心SharePoint黑客转向传播勒索软件

根据某中心发布的安全公告，针对Microsoft SharePoint的攻击近期升级，威胁行为体开始在易受攻击的系统上部署勒索软件。这一恶意活动激增发生在7月发布多个SharePoint安全补丁之后。

某中心博客更新的部分内容写道：“通过持续监控Storm-2603的利用活动，我们扩展了分析和威胁情报，发现其导致Warlock勒索软件的部署。”

攻击详情

据某中心称，至少三个被认为与中国有关的威胁组织一直在利用Microsoft SharePoint中公开已知的漏洞。这些组织包括Linen Typhoon、Violet Typhoon和Storm-2603。

攻击者利用本地SharePoint服务器的多个弱点——包括远程代码执行（RCE）、凭证欺骗和不当身份验证——来获得未经授权的访问。一旦进入内部，他们就能够渗透内部文件系统并提取敏感数据，这些数据可用于监视、冒充或勒索。

某中心在7月上旬和中旬分两轮发布了补丁，以解决受影响的漏洞——CVE-2025-49704、CVE-2025-49706、CVE-2025-53770和CVE-2025-53771。尽管做出了这些努力，该公司警告称，勒索软件现在正在未打补丁的系统上部署，包括由Storm-2603进行的攻击。

虽然Linen Typhoon和Violet Typhoon已知是基于中国的组织，但某中心表示，它有“中等信心”认为Storm-2603源自中国。

无论其位于何处，Storm-2603以勒索软件攻击而闻名。他们过去使用过LockBit和Warlock勒索软件，后者也被用于他们最近对SharePoint的攻击。

根据某机构的勒索软件追踪器，Warlock被分类为加密勒索软件，于2025年6月首次检测到。截至本文撰写时，已知有近20名受害者遍布美国、加拿大、德国、中国和其他几个国家。

某中心威胁情报部门确定了几个SharePoint管理员应监控的入侵指标（IOC）。这些包括一个已知的IP地址65.38.121.198，一个名为IIS_Server_dll.dll的后门文件，以及Storm-2603用于在服务器上执行远程命令的一系列Web shell。

鉴于Storm-2603及其勒索软件攻击的隐蔽性，某中心建议安装最新的安全补丁，使用强密码，定期测试安全配置，并持续监控SharePoint服务器是否存在任何已知的IOC。

还建议使用某中心 Defender内的工具，例如漏洞管理、外部攻击面管理（EASM）以及活跃的某中心 Defender XDR订阅。

随着多个漏洞的披露、快速补丁的推出以及现在活跃的勒索软件部署，7月对SharePoint用户和防御者来说是一个关键月份。虽然某中心继续发布安全修复程序，但新攻击载体的出现表明，坚定的对手可能会继续探测弱点。

人工智能不仅仅是一个流行词——在错误的手中它是一种武器。了解攻击者如何使用它以及防御者如何保持领先。