中國駭客Storm-2603從事SharePoint零時差漏洞攻擊，意圖散布勒索軟體Warlock!

資料來源https://www.ithome.com.tw/news/170266 與 https://www.ithome.com.tw/news/171971

駭客會尋找可透過網際網路存取的SharePoint伺服器，並透過spinstall0.aspx有效酬載（Web Shell）建立初期的存取管道，運用CMD和批次指令碼，以及公用程式PsExec進行更廣泛的活動。

接著，駭客利用名為Mimikatz的工具，截取明文帳密資料，然後運用PsExec與Impacket橫向移動，透過WMI執行命令。最終Storm-2603竄改群組原則物件（GPO），在受害組織環境散布勒索軟體Warlock。

防止非法執行PsExec、Impacket 與 WMI等命令的橫向移動、即時偵測群組原則物件（GPO）、阻斷大量機敏資料拷貝與勒索軟體加密並快速啟動災害復原機制。

歡迎參加 2025年11月28日週五下午2點 『Lepide DSP 資料安全平台』、『Silverfort 身份安全平台』與『SIOS高可用性(HA) /災難復原(DR) 』網路研討會。

<Silverfort 身份安全平台>

Silverfort將 MFA 擴展到任何資產、防止從 OT/IT/IoT 網路對網域控制器的攻擊、發現監控 AD/Azure AD與保護服務帳號、阻斷勒索軟體擴散、防止橫向移動、可視性與風險分析。

Silverfort  主要因應方法：

• 有別一般 EDR/MDR、MFA保護方案須在數量龐大的端點安裝代理程式，Silvefort 僅需要再數量不多的網域控制器DC部署 AD Adapter，快速與有效的保護 Windows AD。
• 有別一般 MFA 軟體不支援 Command LINE、PowerShell與CIFS Share，Silverfort的通用 MFA (Universal MFA) 可在 PsExec、PowerShell、CIFS Share 與 WMI 等上啟用 MFA 策略，阻止勒索軟體使用Mimikatz等工具竊取的憑證在您的網路中擴散。
• 身份驗證防火牆(Authentication Firewall) ：將您的環境劃分為多個邏輯存取分段、阻斷非法的橫向移動。

<Lepide DSP 資料安全平台> 

Lepide DSP資料安全平台提供 機敏資料盤點、存取權限清查與 Windows File Server、Windows AD、微軟M365(Entra ID、SharePoint Online、Exchange Online、OneDrive、Teams、Copilot)、 DELL/EMC NAS、NetApp NAS、Google Workspace等的資料(物件)使用紀錄稽核、使用者行為分析與即時警告(如大量拷貝、勒索加密)與阻斷。

Lepide DSP 主要因應方法：

• 監控所有特權帳號的新增異動、大量登入失敗、橫向移動。
• 在重要偵測群組原則物件（GPO）被更改時即時發出告警。
• 機敏資料在大量拷貝時即時發出告警。
• 在勒索軟體加密檔案時即時發出告警、阻斷並停止關閉 Data Replication 功能以保護災害復原系統與資料。

<SIOS DataKeeper Cluster>

SIOS DataKeeper Cluster Edition是免除共用儲存設備成本與複雜性的高可用性(HA) 與災難復原(DR)軟體，並可混合使用實體伺服器、虛擬機與雲端節點。

使用 SIOS DataKeeper Cluster Edition 保護關鍵的 Windows 應用程式，避免停機與災難風險。只需將 SIOS DataKeeper 加入您的 Windows Server 容錯移轉叢集（WSFC）環境中，即可實現高可用性(HA)與災難復原(DR)叢集。

SIOS DataKeeper Cluster主要因應方法：

• 快速的區塊層級複製功能會同步所有節點上的本機儲存空間並支援 MSSQL、Oracle、SAP 與Postgres 等資料庫。
• 可實施"一對多"快速的區塊層級複製，保持多份最新的本地與異地複製資料。
• 當發生故障或搭配 Lepide DSP偵測到勒索軟體加密檔案時，即時停止 Data Replication 功能並利用備援伺服器，可立即存取最新資料並快速復原。

研討會時間：2025年11月28日 週五下午14:00 ~ 16:00

報名方式：請發信至 Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它 電子郵件報名

地點：Microsfot Teams 網路研討會