新闻简报：SharePoint攻击席卷全球

对网络犯罪分子而言，这是“战绩辉煌”的一周，而对防御者来说则充满挑战。数百家组织目睹威胁行为者利用其Microsoft SharePoint服务器中的关键漏洞发动攻击，更多恶意黑客加入其中，攻击仍在持续。

与此同时，在FBI一次重大打击行动仅两个月后，Lumma恶意软件即服务（MaaS）运营不仅似乎已完全恢复，而且变得比以往更加隐蔽和高效。而创新的Coyote银行木马通过将Windows无障碍功能武器化来攻击用户，开辟了新的技术领域。

这些事件共同凸显了当今网络威胁的机会主义、适应性、韧性和独创性——以及及时修补补丁和频繁进行安全意识培训等应对措施的至关重要性。

持续的SharePoint攻击影响数百家微软客户

拥有本地部署SharePoint服务器的微软客户正面临一波大规模持续网络攻击，这些攻击始于7月初，并在过去一周升级。

这些入侵利用了名为ToolShell的攻击链，该链结合了远程代码注入和网络欺骗漏洞。据报道，攻击者已利用这些漏洞入侵了全球数百家SharePoint客户，包括美国国家核安全局和国土安全部。

据微软称，三个中国国家级威胁行为者是最早在7月初发起ToolShell攻击的。最近，其中一组攻击者也开始在持续的勒索软件攻击中使用该漏洞链。

微软于7月19日发布了紧急带外安全更新。该补丁涵盖SharePoint Subscription Edition、SharePoint 2019和SharePoint 2016。研究人员警告称，更多威胁行为者可能会加入持续的攻击活动中，使得立即修补补丁对所有SharePoint客户都至关重要。

这些漏洞不影响Microsoft 365版本的SharePoint Online。

臭名昭著的Lumma恶意软件——旨在窃取敏感信息，如凭证和加密货币钱包信息——在5月被FBI打击后迅速重新出现。趋势科技研究人员表示，Lumma威胁行为者的活动在6月至7月期间似乎已恢复到正常水平，尽管他们的策略变得更加隐蔽和谨慎。

此前，Lumma运营商严重依赖Cloudflare的基础设施来隐藏其恶意域名。然而，现在他们越来越多地转向那些不那么受美国执法机构约束的服务提供商，例如总部位于俄罗斯的Selectel。

Lumma的分发方式也在演变，最近的攻击使用虚假破解软件、带有欺骗性验证码页面的ClickFix活动、AI生成的GitHub仓库，以及在YouTube和Facebook上的社交媒体活动。

自2024年2月以来在拉丁美洲活跃的银行木马Coyote，通过利用Windows UI自动化框架窃取银行凭证，开创了一种新的攻击方法。这是已知的首个滥用这一旨在帮助残障人士与Windows系统交互的合法无障碍功能的恶意软件实例。

主要在巴西活动的Coyote，已针对75家银行和加密货币交易所的用户。该恶意软件最初通过网络钓鱼邮件中的恶意LNK文件获得初始访问权限，然后监控浏览器中对银行网站的活动。

Coyote尤其危险，因为它能够离线运行，并使用UI自动化从浏览器标签页中提取敏感信息，这种方式比传统方法更可靠。它例证了攻击者的技术如何不断演变以超越安全措施。