上週末資安業者Eye Security偵測到零時差漏洞CVE-2025-53770(ToolShell)攻擊行動,初步確認至少有85臺伺服器、29個企業組織受害,其中部分是跨國企業組織及政府機關,後續資安業者Censys認為,犯案的駭客身分是國家資助的APT組織,這樣的推測,現在也得到微軟的證實。
微軟威脅情報團隊指出,他們觀察到中國資助的駭客組織Linen Typhoon、Violet Typhoon從事漏洞利用攻擊,另有一組來自中國的駭客組織Storm-2603,也加入行列,而且,相關的攻擊行動迄今仍持續當中。微軟提及,這些駭客不光利用ToolShell,還使用其他漏洞,其中包括漏洞挖掘競賽Pwn2Own Berlin 2025找到的CVE-2025-49704、CVE-2025-49706。附帶一提的是,美國網路安全暨基礎設施安全局(CISA)也在7月22日,將CVE-2025-49704、CVE-2025-49706列為已被利用的漏洞(KEV),並要求聯邦機構必須在一天內完成修補。
針對利用SharePoint零時差漏洞的活動,微軟表示駭客會先對本機建置的SharePoint伺服器進行偵察,向ToolPane端點發出POST請求來嘗試利用漏洞,一旦成功,他們就會繞過身分驗證,並能遠端執行任何程式碼(RCE),通常會使用Web Shell作為有效酬載,推進後續攻擊活動。
而對於部署Web Shell的方式,攻擊者會發送特製的POST請求,於受害伺服器上傳惡意指令碼,檔案名稱為spinstall0.aspx,但也有命名為spinstall.aspx、spinstall1.aspx、spinstall2.aspx的情況。此ASPX指令碼的內容,包含接收MachineKey資料的命令,並透過GET請求回傳結果給使用者。
針對這波攻擊行動發生的時間,可追溯到7月7日,較Eye Security在18日偵測到相關活動早了11天,當時這些中國駭客利用CVE-2025-49704、CVE-2025-49706,試圖取得受害組織的初始入侵管道。
另一家資安業者Check Point也觀察到類似的情況,他們看到有人在7月7日首度利用ToolShell,主要目標是西方國家的政府機關,相關攻擊活動在18日至19日爆增。這些攻擊涉及駭客特製的Web Shell,它的功能主要是處理有效酬載Viewstate的參數,從而發動反序列化攻擊。但除了政府機關占半數(49%),這些駭客也攻擊軟體業者(24%)和電信業者(9%)。
從地理位置來看,約三分之一(32%)事故發生在美國,其次是葡萄牙、加拿大、比利時、德國,分別占12%、9%、6%、6%。
而對於攻擊來源,該公司提及駭客的基礎設施與3個IP位址有關,其中一個曾經被用於攻擊Ivanti Endpoint Manager Mobile(EPMM),攻擊流程串連今年5月Ivanti修補的CVE-2025-4427、CVE-2025-4428。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
