安全公司Palo Alto Networks的Unit 42团队警告,勒索软件团伙近期加入了针对Microsoft SharePoint服务器漏洞链的大规模攻击行动,至少导致全球148家组织被入侵。这一攻击行动被称为“ToolShell”,Unit 42在分析相关事件时发现了基于开源Mauri870代码的4L4MD4R勒索软件变体。该勒索软件于7月27日被检测到,通过恶意加载器从theinnovationfactory[.]it下载并执行攻击。
技术分析显示,4L4MD4R以GoLang编写并通过UPX加壳,执行时会在内存中解密AES加密载荷、加载PE文件,并以新线程运行,最终加密感染设备上的文件,并要求受害者支付0.005枚比特币赎金以获取解密工具。
Microsoft与Google均将此攻击归因于中国威胁团体,其中微软披露由Linen Typhoon、Violet Typhoon和Storm-2603等国家级黑客组织实施。被攻陷目标包括美国国家核安全局、教育部、佛罗里达州税务局、罗德岛总议会,以及欧洲和中东多家政府网络。
荷兰Eye Security最先发现ToolShell漏洞利用,涉及零日漏洞CVE-2025-49706和CVE-2025-49704,涉及的被攻击组织涵盖多国政府及跨国企业。Check Point还追溯到7月初对北美和西欧多个政府和科技机构的攻击。