微软日前发布警告称,两个与中国政府有关的威胁组织以及一个中国境内的攻击者正在利用最近爆发的针对SharePoint服务器的零日漏洞进行攻击。
其中,名为Linen Typhoon和Violet Typhoon的威胁组织,和微软跟踪的攻击者Storm-2603都在利用这两种影响本地SharePoint服务器的零日漏洞。
根据微软威胁情报在周二发布的博客,相关漏洞CVE-2025-53770和CVE-2025-53771已被大规模利用,导致数百家全球组织受到影响,涵盖多个行业,包括政府机构。
这两项缺陷被认为是微软在本月初安全更新中已披露漏洞的变种。发现新漏洞后,微软迅速行动,已在周一晚间为所有SharePoint版本发布了补丁。
然而,攻击仍在持续并且在扩散。
微软威胁情报研究人员表示:“由于这些漏洞的快速利用,我们高度确信,威胁行为者将继续将在尚未打补丁的本地SharePoint系统上整合这些攻击。”
美国网络安全和基础设施安全局(CISA)也对此次攻击发布了罕见的周末警报,并在周日将该缺陷加入已知的被利用漏洞目录中,显示出此次攻击带来的广泛警觉。
微软最初的归因评估与其他事件响应者和研究人员的发现一致,这些人正迅速行动以应对攻击对关键基础设施造成的威胁。
威胁组织背后的动机和来源也已不仅限于中国及其政府。
Mandiant Consulting的首席技术官Charles Carmakal在电子邮件中表示,早期的零日漏洞利用是广泛且具有机会性的。
他说:“负责早期利用这一漏洞的至少一个行为者是与中国相关的威胁行为者。重要的是,要理解现在有多个行为者正在积极利用这一漏洞。我们完全预料到这一趋势将继续,因为不同动机的各种其他威胁行为者也将利用这一漏洞。”
微软研究人员指出,Linen Typhoon、Violet Typhoon和Storm-2603早在7月7日就试图利用已披露的SharePoint漏洞(CVE-2025-49706和CVE-2025-49704)。Typhoon是微软用于指代源自中国的国家级威胁组织的家族名称,而Storm则是微软用来标识发展中的威胁组织的代号。
Linen Typhoon自2012年活跃以来,专注于从政府、国防、战略规划和人权组织中窃取知识产权。
而Violet Typhoon自2015年开始活跃,主要针对前政府和军方人员、非政府组织、智库、高等教育、媒体、金融及与健康相关的行业,特别是在美国、欧洲和东亚等地。
微软研究人员指出:“该组织持续扫描目标组织公开的网络基础设施中的漏洞,并利用发现的弱点安装网络后门。”
至于Storm-2603,这一中国境内的攻击者正试图从受损的SharePoint服务器中盗窃MachineKeys。
研究人员警告,盗窃加密钥匙可能使攻击者在补丁应用后仍能保持对受害环境的持续访问。
图片源于:cyberscoop
