微软揭中国黑客利用SharePoint零日漏洞攻击 全球机构恐遭波及 https://t.co/wu0FQEyTmp pic.twitter.com/7rHWu7wOIh微软本周表示,多个与中国政府有关联的黑客组织近日发动大规模网路攻击,利用其协作平台SharePoint中的高风险漏洞,对全球各类组织发起渗透行动。
— RFI 华语 - 法国国际广播电台 (@RFI_Cn) July 22, 2025
据美国科技巨头微软本周二发布的文章指出,来自中国的国家级黑客组织“Linen Typhoon”(亚麻台风)、“Violet Typhoon”(紫罗兰台风),以及一名代号为“Storm-2603”的中国背景攻击者,自7月7日起即试图利用协作平台SharePoint漏洞入侵全球多个组织。微软指出,这一攻击行动目前仍在持续中,部分组织的伺服器已遭完全控制。
美国网络安全与基础设施安全局(CISA)于7月21日证实,该漏洞正遭到“主动性利用”,并已列入其“已知被利用漏洞目录”,强制所有联邦机构于补丁发布后24小时内完成修补。根据微软说法,目前受影响的仅限于安装于企业内部的SharePoint版本,使用Microsoft 365与SharePoint Online之云端用户并不受波及。
谷歌(Google)旗下资安顾问公司Mandiant技术长卡马卡尔(Charles Carmakal)周一于领英(LinkedIn)上表示:“我们判断,至少有一个最初利用该漏洞的行动者,与中国有直接联系。”他强调,除了中国黑客外,目前已有多个威胁团体纷纷加入这波攻击,预期将迅速扩大波及范围。
另一位不具名的资安研究员告诉《华盛顿邮报》(The Washington Post),已有美国调查人员发现,多个遭骇的伺服器与中国境内IP位址,在上周五及六期间产生通讯,进一步印证攻击源头与中国有直接关联。
微软警告,此漏洞可让未经授权的攻击者执行远端代码,并完全控制受害者的伺服器,包括存取档案、内部设定与密钥。微软呼吁所有企业与政府机构立即采取行动,包括安装所有最新补丁、重设所有加密凭证与密钥,以及检查并移除任何Web Shell或恶意脚本,并强化系统监控,持续追踪异常行为。
根据《华盛顿邮报》报导,已知的受害对象包含美国联邦政府与州政府部门、能源公司、大学机构,以及一家亚洲地区的电信企业。微软已与美国国土安全部密切合作,通报可能受影响的机构,并建议立即变更系统凭证、密钥与执行恶意程式扫描。
本台已联系美国联邦调查局(FBI)与国土安全部请求置评,但截稿前尚未收到回覆。
这并非第一次中国黑客入侵。此前,微软曾揭露与中国国安部有关的“Hafnium”组织利用漏洞入侵全球邮件伺服器。该事件亦促使微软加速推动内部安全改革,推出“Secure Future Initiative”(安全未来计划)。
上周,微软更宣布将停止让中国工程师参与美国国防部之云端业务支援,这一决策源于外媒报导指出,中国工程师可能借此管道接触敏感架构资料,对美方安全构成风险。
根据《华盛顿邮报》消息来源指出,此次SharePoint攻击手法与中国黑客近期利用Citrix NetScaler漏洞的方式极为相似,显示中国黑客已具备在漏洞曝光数日内完成攻击模组的能力,威胁等级不容低估。
