【雲智維資安預警通知】
一、摘要
中國駭客組織鎖定SharePoint Server零時差漏洞攻擊事件,全球已有上百組織受害,目前已證實至早3組中國駭客積極利用這項漏洞來攻擊,還有新加坡關鍵基礎設施遭入侵的狀況,該國網路安全局指出此攻擊與中國駭客UNC3886有關。
二、存在風險
資安業者Eye Security揭露中國駭客組織鎖定SharePoint Server零時差漏洞攻擊之事件,其說明該攻擊行為發現時已有29個企業組織受害,且研究人員發現攻擊者並非自己發明滲透伎倆,而是將稍早紅隊演練業者Code White公布的ToolShell攻擊手法,予以成功運用。
微軟也確認此事,並將漏洞登記為CVE-2025-53770,且緊急釋出修補,而其根本原因是7月中兩個漏洞的錯誤組合造成(CVE-2025-49706、CVE-2025-49704),目前這三項漏洞均已遭駭客利用。
攻擊者第一階段的惡意工具是以C#打造而成,主要的功能包含提供SignedConnection.exe的圖形介面,並將黑白惡意軟體元件複製到電腦以及竄改登錄檔,讓這些惡意軟體隨著電腦開機載入。另一個惡意程式Qt5Core.dll,則是由secur32.dll改名後,再透過FileCoAuth.exe載入,並透過GitHub、Google Drive取得C2伺服器位址和建立通訊。
IoC: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.ngrok-free[.]app/file.ps1
msupdate[.]updatemicfosoft[.]com
update[.]updatemicfosoft[.]com
131.226.2[.]6
134.199.202[.]205
104.238.159[.]149
188.130.206[.]168
65.38.121[.]198
建議改善措施:
定期更新存在漏洞之系統。
強化密碼政策與實施遠端存取控管,
如內部有相關資安設備(防火牆、防毒軟體等),可評估將IoC匯入,藉以強化資安防護。
儘速導入雲智維服務,進行資安威脅情資偵測與聯防,降低企業資安風險。
情資報告連結:https://threatbook.io/blog/id/1095