近年来,随着数字化转型的加速,企业及政府组织对协作平台的依赖日益增强,微软 SharePoint 作为其中重要的企业级内容管理和协作工具,其安全性备受关注。2025 年,安全界爆出新的威胁:名为 Storm-2603 的中国疑似黑客组织,针对未修补的本地 SharePoint 服务器漏洞开展攻击活动,部署致命的 Warlock 勒索软件,对全球范围内的众多目标构成巨大威胁。微软官方于2025年7月发布关于 Storm-2603 利用 CVE-2025-49706 和 CVE-2025-49704 两个关键漏洞的攻击报告,引发业界高度关注。该组织利用漏洞实现远程代码执行及身份欺骗,成功植入名为 spinstall0.aspx 的 ASP.NET Web Shell,开启了对目标服务器的控制权限。通过此初始入侵点,攻击方能够执行命令、探测权限及环境信息,进而展开深层网络横向移动。攻击中,Storm-2603 恶意利用 SharePoint 支持进程 w3wp.exe 作为指令执行载体,展现了其对微软内部机制的熟悉掌控。
此外,攻击者通常通过 cmd.exe 和批处理脚本继续渗透,滥用 services.exe 进程篡改 Windows 注册表,关闭微软防御体系如 Microsoft Defender,降低安全检测的可能性。值得注意的是,利用 spinstall0.aspx 保持持续性访问之外,Storm-2603 还会创建计划任务,修改互联网信息服务(IIS)组件,加载异常的 .NET 程序程序集,增强入侵的隐蔽性和持久性,即使受害者采取补救措施,也难以完全根除攻击痕迹。为了获取网络内的关键信息和凭据,攻击团队部署了知名的凭据窃取工具 Mimikatz,扫描本地安全授权子系统服务(LSASS)内存,进而利用 PsExec 和 Impacket 工具包在受感染网络进行横向移动,扩大攻击面。Storm-2603 在渗透后修改组策略对象(GPO),将 Warlock 勒索软件传播至更多受控主机,实现环境内的勒索条款执行,造成数据加密并勒索赎金。微软及安全厂商强烈建议所有使用本地 SharePoint 服务器的用户,务必尽快升级至受支持的版本,并应用最新安全补丁,避免漏洞继续被滥用。开启并正确配置杀毒扫描接口(Antimalware Scan Interface),以及部署 Microsoft Defender for Endpoint 等现代化安全防护措施,均被视为遏制攻击的有效措施。
同时,动态更换 SharePoint 服务器的 ASP.NET 机器密钥,并重启 IIS 服务,是防止持久化 Web Shell 继续其恶意活动的一项重要手段。值得特别关注的是,Storm-2603 拉响的攻击警报已经引发全球范围内广泛影响,根据网络安全公司 ESET、Check Point Research 和 WithSecure 的数据统计,截至2025年7月,全球至少300家组织遭受超过4600次攻击企图,涉及政府、金融、通讯、软件服务等多个关键行业。受害组织中,欧美国家如美国、英国、意大利、法国和德国均成为高危目标。另据 Fortinet FortiGuard Labs 报告,攻击者还部署了被称为 GhostWebShell 的 ASP.NET Web Shell,专为 SharePoint 设计,具备内存常驻及规避安全检测的能力,增加了黑客后续控制的难度。安全专家在分析攻击行为时发现,这些攻击手法还包括窃取 ASP.NET 机器密钥的关键工具 KeySiphon,能够捕获应用的验证和解密密钥,轻松伪造身份验证令牌,篡改视图状态(ViewState)信息,进一步获取对受害服务器深层访问权限。值得警惕的是,攻击链条中的多种工具和行为均指向中文系威胁组织参与,尽管目前尚未有明确官方归属定论,但持续不断攻击势头及多国政府意图让安全应对变得更加复杂。
面对威胁,企业与组织不可侥幸依赖被动防御,而应积极构建全面的网络安全防护体系,不仅着眼于漏洞修补,还要做好访问控制、权限管理和高级威胁检测。一旦发现异常访问或可疑进程,应迅速启动应急响应流程,避免攻击进一步扩大和数据破坏。本文提醒所有 SharePoint 用户,及时升级补丁,彻底关闭安全弱点,是防止 Storm-2603 及类似高危团伙攻击成功的根本保障。随着云计算和混合环境的广泛普及,企业还应结合现代安全技术,例如端点防护、行为分析及零信任策略,打造动态且灵活的安全防线。只有这样,才能有效抵御 Warlock 等新兴勒索软件带来的毁灭性风险,确保组织信息资产的完整性和业务连续性。同时,建议进一步加强国际间的网络安全合作,促进信息共享与联合防御,共同打击跨国网络犯罪,营造清朗的数字空间环境。
。
