在當今複雜的網路威脅環境中，針對關鍵基礎設施和高價值目標的攻擊日益頻繁，其中政府機構、大學、電信服務供應商和金融機構往往成為駭客組織的重點目標。近期，一起引人注目的網路攻擊事件揭露，據悉與中國有關的駭客集團正積極利用 Microsoft SharePoint 平台中的一個關鍵漏洞，對全球多個地區的這些敏感組織發動大規模攻擊。

據悉與中國有關的駭客利用 Microsoft SharePoint 中的 ToolShell 漏洞 (CVE-2025-53770)針對政府機構、大學、電信服務供應商和金融機構發動攻擊。該安全漏洞影響本地 SharePoint 伺服器，並於 7 月 20 日被披露為一個被積極利用的零日漏洞，微軟於隔天發布了緊急更新。

該問題繞過了 CVE-2025-49706和 CVE-2025-49704，這兩個漏洞可以在無需身份驗證的情況下遠端利用，從而執行程式碼並完全存取檔案系統。值得注意的是，側載步驟是使用合法的 Trend Micro 和 BitDefender 執行檔進行的。研究指出，攻擊中使用的公開可用和現成的工具清單，包括微軟的 Certutil 實用程式、GoGo Scanner（紅隊掃描引擎）以及允許資料外洩、命令和控制，及在受感染設備上持久化的 Revsocks 實用程式。

這次攻擊的關鍵在於駭客成功利用了 SharePoint 的一個遠端程式碼執行（RCE）漏洞，該漏洞允許他們在未經授權的情況下，遠端執行任意程式碼並完全控制目標系統的檔案系統。更為狡猾的是，ToolShell 漏洞不僅僅是一個獨立的缺陷，它還巧妙地繞過了之前為修補 CVE-2025-49706 和 CVE-2025-49704 所發布的安全措施。這兩個先前的漏洞同樣允許未經身份驗證的遠端程式碼執行，而 ToolShell 則顯示了攻擊者對於漏洞利用鏈的持續更新和複雜化。

根據 NCC Group 研究人員發布的技術分析，這次 ToolShell 漏洞的利用鏈涉及一種非常隱蔽的側載（side-loading）技術。駭客並非直接執行惡意程式，而是利用合法的、受信任的第三方安全軟體（如 Trend Micro 和 BitDefender 的執行檔）來載入其惡意的 DLL 檔案。這種方法具有極高的欺騙性，因為它可以有效規避傳統的安全檢測，讓惡意活動看起來像是正常的應用程式行為。

駭客在攻擊中使用的工具集也值得警惕。除了側載技術，他們還運用了一系列公開可用和現成的工具，這表明攻擊者傾向於利用通用工具來提高攻擊效率和降低被追蹤的風險。這些工具包括：

1. 微軟的 Certutil 實用程式： 這是一個 Windows 內建的命令行工具，原本用於管理憑證服務。然而，它經常被駭客濫用，用於下載惡意檔案、編碼/解碼數據或執行其他系統操作，因為它是合法的系統工具，不易被安全軟體標記。

2. GoGo Scanner： 這是一個開源的紅隊掃描引擎，通常用於安全測試，以模擬攻擊者行為，發現系統漏洞。駭客利用它來掃描目標網路，尋找可利用的弱點或可存取的服務，為後續攻擊鋪路。

3. Revsocks 實用程式： 這是一款功能強大的反向代理和命令與控制（C2）工具，一旦部署到受感染的設備上，可以建立一個持久化的控制通道。它允許駭客遠端控制被感染的系統，執行數據外洩、發布指令以及在受害者網路中進行橫向移動等惡意活動。

這些工具的組合使得攻擊活動極難被發現和阻止。透過利用 SharePoint 的零日漏洞，結合這些成熟的工具和隱蔽的技術，駭客集團能夠有效地滲透目標網路，竊取敏感資訊，並建立長期的遠端控制能力。

這次攻擊事件再次凸顯了及時更新軟體和實施多層次安全防護的重要性。微軟在漏洞披露後迅速發布了緊急更新，這強調了組織應當建立高效的漏洞管理和補丁部署機制。此外，由於攻擊者利用了合法的執行檔和通用工具，傳統基於簽名的防毒軟體可能難以完全防禦。因此，組織需要更進階的威脅檢測能力，如行為分析、網路流量監控和端點偵測與回應（EDR）解決方案，以識別和阻止這些複雜的零日攻擊。面對日益精密的網路威脅，持續提升安全態勢、加強員工資安意識培訓，並與資安專家保持合作，是每個組織都必須嚴肅對待的課題。