SharePoint重大漏洞遭中國三個駭客組織大規模攻擊 美國核武機構也淪陷

Microsoft於7月22日正式證實，至少三個中國國家級駭客組織自7月7日起就開始利用SharePoint Server的零時差漏洞進行大規模攻擊。這些攻擊活動影響範圍極廣，據統計已有超過400個伺服器遭到感染，148個組織遭到入侵，其中包括美國國家核安全管理局（NNSA）等關鍵基礎設施機構。

Microsoft識別出三個主要的攻擊者：

Linen Typhoon（亞麻颱風）

• 別名：APT27、Bronze Union、Emissary Panda等
• 活躍時間：自2012年起
• 特色：曾使用SysUpdate、HyperBro、PlugX等惡意軟體

Violet Typhoon（紫羅蘭颱風）

• 別名：APT31、Bronze Vinewood、Judgement Panda等
• 活躍時間：自2015年起
• 攻擊目標：曾鎖定美國、芬蘭、捷克等國

Storm-2603

• 疑似中國背景的威脅行為者
• 過去曾部署Warlock和LockBit勒索軟體

技術細節與攻擊手法

此次攻擊利用了SharePoint Server的多個漏洞，形成完整的攻擊鏈：

• CVE-2025-49704：SharePoint遠端程式碼執行漏洞
• CVE-2025-49706：SharePoint身份驗證後遠端程式碼執行漏洞
• CVE-2025-53770：SharePoint ToolShell身份驗證繞過與遠端程式碼執行漏洞（CVSS評分：9.8）
• CVE-2025-53771：SharePoint ToolShell路徑遍歷漏洞

攻擊者透過以下步驟進行攻擊：

• 初始入侵：向SharePoint伺服器的ToolPane端點發送POST請求
• 身份驗證繞過：利用漏洞繞過身份驗證機制
• 植入Web Shell：部署名為"spinstall0.aspx"的Web Shell
• 資料竊取：竊取MachineKey資料及其他敏感資訊
• 橫向移動：利用獲得的憑證進行內網擴散

​安全研究人員發現，Microsoft最初的修補程式存在不完整的問題。CVE-2025-53770和CVE-2025-53771實際上是針對先前已修補漏洞的繞過攻擊，顯示原始修補程式未能完全解決問題。

watchTowr Labs研究人員透露，他們已開發出繞過Microsoft建議的AMSI（反惡意軟體掃描介面）防護措施的方法。該公司CEO Benjamin Harris警告：「AMSI從來不是萬靈丹，組織絕對不能以啟用AMSI代替修補程式。」

網路安全研究員Rakesh Krishnan在分析中發現，攻擊者使用了複雜的行為偽裝技術：

• 利用三種不同的Microsoft Edge程序調用
• 使用Google的客戶端更新協定（CUP）將惡意流量偽裝成正常的更新檢查
• 採用沙箱逃逸策略

Symantec發現攻擊者在成功入侵後會執行以下動作：

• 執行編碼的PowerShell命令
• 下載名為"client.exe"的檔案並重新命名為"debug.js"以規避偵測
• 執行Windows批次腳本收集系統資訊和加密金鑰

美國國家核安全管理局遭入侵

美國能源部證實，國家核安全管理局（NNSA）於7月18日遭到攻擊。NNSA負責維護美國核武器庫存並處理核輻射緊急事件。

能源部發言人Ben Dietderich表示，由於NNSA廣泛採用Microsoft M365雲端服務，加上部署了完善的網路安全防護系統，因此這次攻擊造成的影響相對有限。目前沒有證據顯示敏感或機密資訊遭到洩露。

美國網路安全暨基礎設施安全局（CISA）於7月22日將相關漏洞列入「已知被利用漏洞」目錄，要求聯邦機構必須在7月23日前完成修補。

Microsoft建議組織立即採取以下行動：

1. 立即更新：安裝SharePoint Server最新修補程式
2. 金鑰輪換：輪換SharePoint伺服器ASP.NET機器金鑰
3. 服務重啟：重新啟動Internet Information Services（IIS）
4. 部署防護：部署Microsoft Defender for Endpoint或同等解決方案

為了建立更全面的防護機制，組織應整合並啟用反惡意軟體掃描介面（AMSI），並將其設定為完整模式運作。同時，需要為所有本地SharePoint部署配置Microsoft Defender Antivirus或同等級的防毒解決方案。在網路架構方面，應儘可能減少對外暴露的SharePoint服務，降低攻擊面。此外，組織必須全面檢查並輪換所有相關的SharePoint和Active Directory憑證，以及相關的系統權杖，確保可能已遭洩露的認證資訊失效。

面對這波攻擊，組織應立即採取主動式的威脅狩獵措施。首先，運用Microsoft提供的入侵指標（IOC）進行全面的威脅狩獵活動，以識別環境中可能存在的惡意活動痕跡。接著進行完整的資產清查，系統性地識別所有易受攻擊的本地SharePoint實例，確保沒有遺漏的系統。在日誌分析方面，需要特別檢查是否存在針對ToolPane端點的可疑POST請求，這是攻擊者慣用的入侵路徑。最後，應積極搜尋環境中可疑的.aspx檔案，特別留意名稱包含spinstall的相關檔案，這些往往是攻擊者植入的Web Shell。

攻擊趨勢預測

安全專家預測，隨著攻擊程式碼的公開和武器化，將有更多威脅行為者採用這些漏洞：

• 勒索軟體組織可能整合這些攻擊手法
• 攻擊將從針對性轉向機會主義
• 可能出現多波攻擊活動

SentinelOne威脅研究員Jim Walter指出：「SharePoint伺服器對威脅行為者極具吸引力，因為它們很可能儲存敏感的組織資料。除了作為知識庫的價值外，易受攻擊的SharePoint伺服器還可用於向受害組織投遞額外的攻擊元件。」

組織應立即檢查其SharePoint部署狀況，確保已安裝最新修補程式，並實施多層防護策略。面對國家級攻擊者的威脅，被動防護已不足夠，需要建立主動威脅狩獵和快速回應能力。