微软本周表示,多个与中国政府有关联的黑客组织近日发动大规模网路攻击,利用其协作平台SharePoint中的高风险漏洞,对全球各类组织发起渗透行动。
据美国科技巨头微软本周二发布的文章指出,来自中国的国家级黑客组织“Linen Typhoon”(亚麻台风)、“Violet Typhoon”(紫罗兰台风),以及一名代号为“Storm-2603”的中国背景攻击者,自7月7日起即试图利用协作平台SharePoint漏洞入侵全球多个组织。微软指出,这一攻击行动目前仍在持续中,部分组织的伺服器已遭完全控制。
美国网络安全与基础设施安全局(CISA)于7月21日证实,该漏洞正遭到“主动性利用”,并已列入其“已知被利用漏洞目录”,强制所有联邦机构于补丁发布后24小时内完成修补。根据微软说法,目前受影响的仅限于安装于企业内部的SharePoint版本,使用Microsoft 365与SharePoint Online之云端用户并不受波及。
谷歌(Google)旗下资安顾问公司Mandiant技术长卡马卡尔(Charles Carmakal)周一于领英(LinkedIn)上表示:“我们判断,至少有一个最初利用该漏洞的行动者,与中国有直接联系。”他强调,除了中国黑客外,目前已有多个威胁团体纷纷加入这波攻击,预期将迅速扩大波及范围。
另一位不具名的资安研究员告诉《华盛顿邮报》(The Washington Post),已有美国调查人员发现,多个遭骇的伺服器与中国境内IP位址,在上周五及六期间产生通讯,进一步印证攻击源头与中国有直接关联。
微软警告,此漏洞可让未经授权的攻击者执行远端代码,并完全控制受害者的伺服器,包括存取档案、内部设定与密钥。微软呼吁所有企业与政府机构立即采取行动,包括安装所有最新补丁、重设所有加密凭证与密钥,以及检查并移除任何Web Shell或恶意脚本,并强化系统监控,持续追踪异常行为。
根据《华盛顿邮报》报导,已知的受害对象包含美国联邦政府与州政府部门、能源公司、大学机构,以及一家亚洲地区的电信企业。微软已与美国国土安全部密切合作,通报可能受影响的机构,并建议立即变更系统凭证、密钥与执行恶意程式扫描。
本台已联系美国联邦调查局(FBI)与国土安全部请求置评,但截稿前尚未收到回覆。
这并非第一次中国黑客入侵。此前,微软曾揭露与中国国安部有关的“Hafnium”组织利用漏洞入侵全球邮件伺服器。该事件亦促使微软加速推动内部安全改革,推出“Secure Future Initiative”(安全未来计划)。
上周,微软更宣布将停止让中国工程师参与美国国防部之云端业务支援,这一决策源于外媒报导指出,中国工程师可能借此管道接触敏感架构资料,对美方安全构成风险。
根据《华盛顿邮报》消息来源指出,此次SharePoint攻击手法与中国黑客近期利用Citrix NetScaler漏洞的方式极为相似,显示中国黑客已具备在漏洞曝光数日内完成攻击模组的能力,威胁等级不容低估。
from RFI https://www.rfi.fr/cn/%E4%B8%AD%E5%9B%BD/20250722-%E5%BE%AE%E8%BD%AF%E6%8F%AD%E4%B8%AD%E5%9B%BD%E9%BB%91%E5%AE%A2%E5%88%A9%E7%94%A8sharepoint%E9%9B%B6%E6%97%A5%E6%BC%8F%E6%B4%9E%E6%94%BB%E5%87%BB-%E5%85%A8%E7%90%83%E6%9C%BA%E6%9E%84%E6%81%90%E9%81%AD%E6%B3%A2%E5%8F%8A