Microsoft SharePoint 零日攻击锁定在与中国有关的“台风”威胁组织

快速阅读: 据《Cyber Scoop 独家新闻》最新报道，微软称，中国关联组织“林恩台风”和“紫罗兰台风”，以及独立攻击者“风暴-2603”正利用两个零日漏洞CVE-2025-53770和CVE-2025-53771攻击本地SharePoint服务器，已影响全球数百个组织。

据微软威胁情报部门周二发布的博客文章，近日，两个与中国政府有关的威胁组织“林恩台风”和“紫罗兰台风”，以及一个名为“风暴-2603”的独立攻击者，正利用一对零日漏洞攻击本地部署的SharePoint服务器。这些漏洞最初在周末被发现，已导致全球数百个组织遭受入侵，涉及多个行业，包括政府机构。

微软确认，此次攻击利用的零日漏洞为CVE-2025-53770和CVE-2025-53771，属于此前已披露漏洞的变种。微软本月早些时候已通过安全更新修复了这些漏洞。发现新漏洞后，微软迅速开发补丁，并于周一晚上为所有版本的SharePoint发布了更新。

此次攻击仍在持续并呈现扩散趋势。微软威胁情报研究人员表示：“随着这些漏洞被快速采用，微软高度确信，威胁行为者将继续将它们整合到针对未打补丁的本地部署SharePoint系统的攻击中。”

为应对此次攻击引发的广泛担忧，网络安全与基础设施安全局在周末发出罕见的攻击警报，并于周日将其加入已知被利用漏洞清单。微软的归因评估与其他事件响应人员和研究人员的评估一致，他们纷纷介入应对这些攻击对关键基础设施构成的威胁。

Mandiant Consulting首席技术官查尔斯·卡马克尔指出，早期的零日漏洞利用范围广泛且具有机会性。他表示：“至少有一个负责此次早期利用的攻击者是中国关联的威胁行为者。现在有多个攻击者正在积极利用这个漏洞，我们完全预计这种趋势将持续下去。”

微软研究人员透露，“林恩台风”自2012年以来一直活跃，主要从政府、国防、战略规划和人权组织中窃取知识产权。“紫罗兰台风”于2015年出现，是一个间谍威胁组织，目标是美国、欧洲和东亚地区的前政府和军方人员、非政府组织、智库、高等教育、媒体、金融和医疗相关行业。而“风暴-2603”则是一个中国本土的攻击者，试图从受感染的SharePoint服务器中窃取MachineKeys，以维持对受害者环境的长期访问。

(以上内容均由Ai生成)