Turla黑客利用SharePoint漏洞访问了数千个法国用户账户

admin 2026-07-15 05:25:50 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Turla黑客组织利用MicrosoftSharePoint漏洞入侵法国司法部门服务器,获取数千用户账户信息。该组织与俄罗斯联邦安全局关联,长期针对政府、国防、科技等目标进行间谍活动,使用自定义恶意软件如Kazuar及公开工具。调查建议组织及时更新安全补丁、审查账户活动并限制管理员访问,以防范类似攻击。 综合评分: 75 文章分类: 漏洞分析,威胁情报,恶意软件,网络安全,红队


cover_image

Turla 黑客利用 SharePoint 漏洞访问了数千个法国用户账户

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年7月14日 10:11 北京

在小说阅读器读本章

去阅读

Turla是一个长期存在的网络间谍组织,法国当局与俄罗斯联邦安全局有关联,调查人员详细披露了影响法国组织的泄露事件,再次引起关注。

该组织活跃已超过二十年,以秘密窃取政府、外交、国防、司法和技术目标的敏感信息而闻名。

Turla运营商不再依赖单一手段,而是利用钓鱼邮件、感染网站、易受攻击的互联网系统以及被攻破的网络设备来取得立足点。

他们的活动可以从看似无害的文件或薄弱的服务器开始,随后扩展到组织网络的更深层访问权限。

法国网络危机协调中心(C4和CERT-FR)成员在与网络安全新闻(CSN)分享的一份报告中表示,他们发现了针对法国实体的图拉入侵活动。

调查结果显示,这场运动不仅限于高调政府网络,普通企业、协会和个人也被用作攻击者基础设施中的跳板。

最严重的案例涉及存储敏感通信和用户数据的系统。

Turla 的目标是 Windows、Linux 和 macOS 环境,以及电子邮件平台、网页浏览器、业务应用和网页服务器,为团队提供了进入依赖常见企业工具的组织的广泛路径。

Turla 黑客利用 SharePoint 漏洞

2019年,调查人员发现图尔拉运营商入侵了一台属于法国司法部门组织的服务器。

该服务器为员工提供继续教育服务,成为进入大量用户环境中的重要入口。

攻击者利用了与 Microsoft SharePoint 相关的漏洞,在受影响的服务器上安装了恶意软件。

C4调查人员得出结论,该行动可能使攻击者获得了数千个用户账户相关信息,凸显了一个暴露的协作平台可能引发更广泛的隐私和安全问题。

自2010年代以来,与图拉相关的行动影响了法国各部委、外交组织、国防机构、司法部门和科技公司。

报告还描述了中间受害者的系统被接管并作为隐藏中继器,用于后续攻击。

这种方法使得事件更难被发现,因为被攻破的组织可能不是攻击者的最终目标。

服务器、网站或设备可以被转为临时发射点,帮助运营商融入合法网络流量,同时追踪其他受害者的信息。

持续的间谍行动

Turla 与一系列自定义恶意软件家族有关,包括 Uroburos(也称为 Snake)和 Kazuar。

研究人员指出,Kazuar 持续演进,直到2026年仍在使用,而 Turla 操作员也使用公开工具如 Mimikatz 和 Metasploit,帮助入侵融入正常行政活动。

该组织在俄罗斯对乌克兰战争期间,持续对乌克兰、北约国家和欧盟成员国进行活动。

法国调查人员表示,这些行动支持情报收集,尤其是针对政府机构、国防组织及可能提供战略洞察的技术相关目标。

图拉还展现出将多个弱点整合成一条入侵链的能力。

除了利用软件漏洞外,运营商还使用鱼叉式网络钓鱼和水坑攻击,诱使受害者下载被冒充合法软件的文件,增加了信任熟悉网站或文档的用户风险。

这些行动背后的基础设施设计用来隐藏操作人员。

调查人员表示,Turla利用被攻破或租用的服务器、运行内容管理系统的网站、卫星通信以及已被感染的机器网络来管理命令并获取被盗信息。

对于辩护方来说,此案进一步强调了快速应用安全更新的重要性,尤其是针对面向互联网的SharePoint服务器和其他公共服务。

组织还应审查账户活动,调查异常服务器行为,限制管理员访问,并评估被攻破系统是否被用作更大行动中的中继。

法国的调查结果还表明,为什么泄露不应被视为孤立的技术故障。

当攻击者访问了数千人使用的共享服务时,潜在的暴露可能远超原始服务器,影响通信、身份、内部记录以及未来的目标机会。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《Turla 黑客利用 SharePoint 漏洞访问了数千个法国用户账户》

评论:0   参与:  0