中国拠点の脅威アクターが、Microsoft SharePointの脆弱性を利用して、侵害されたシステムにランサムウェアを展開していることが確認されました。
7月23日のインシデントアップデートで、MicrosoftはStorm-2603として追跡されているグループが、侵害されたオンプレミスのSharePointサーバー上でWarlockランサムウェアを配布していることを明らかにしました。
その結果、同社は影響を受ける可能性のある組織に対し、ランサムウェア対策を含む緩和策の拡大を推奨しています。
Storm-2603は、オンプレミスのSharePointの脆弱性CVE-2025-53770およびCVE-2025-53771を悪用していることが確認された3つのグループのうちの1つです。
Storm-2603は中国拠点の脅威アクターであると中程度の確度で評価されています。このグループはWarlockおよびLockBitランサムウェアを展開していることで知られています。
Microsoftは、現時点でこの脅威アクターの目的を確信を持って評価できないと述べています。
SharePointの脆弱性を悪用している他の2つのアクターは、Linen TyphoonおよびViolet Typhoonであり、いずれも中国の国家支援グループで、主に政府、防衛、技術、人権団体などの分野から機密データを収集することに注力しています。
これら2つのバグの連鎖的な悪用は、サイバーセキュリティコミュニティによって「ToolShell」と呼ばれています。この攻撃チェーンは高度であるように見え、脅威アクターはID制御を回避し、侵害されたシステムで特権アクセスを獲得しています。
攻撃者は影響を最大化
Acumen CyberのCTO、Kevin Robertson氏は、ランサムウェアの展開は、攻撃者が一度被害者のネットワーク内部に侵入すると、さまざまな方法で利得を得ようとすることを示していると述べました。
「攻撃者がランサムウェアに切り替えているのは、明らかにCVE-2025-53770を利用して環境へのさらなるアクセスを獲得し、機密情報を暗号化した後、ランサムウェアを実行して大きな報酬を得ようとしているためです」と彼は指摘しています。
通常は金銭的利益を動機としない中国の国家支援アクターも、この機会を利用してランサムウェアを展開している可能性があります。
「彼らはネットワーク上で偵察を行い、必要なものを手に入れた後、被害者にさらなる混乱をもたらすためにランサムウェアを落とすことも考えられます」とRobertson氏は付け加えました。
SharePointの被害者数が400件を突破
MicrosoftはオンプレミスのSharePoint利用者に対し、たとえ2つの脆弱性に完全にパッチを適用していても侵害されていると想定するよう呼びかけています。
組織には、暗号化マテリアルのローテーション、専門的なインシデント対応の依頼、さらにはSharePointのインターネットからの切断など、緊急の対策を講じるよう勧告されています。
サイバーセキュリティベンダーのEye Securityは、7月23日、これまでに400以上のSharePointシステムが実際に侵害されたと報告しました。
これらの攻撃は、7月17日、18日、19日、21日の4回の確認された攻撃の波で発生しました。
Eye Securityによると、7月21日以降、GitHubでCVE-2025-53770/CVE-2025-53771の公開された実証コード(PoC)エクスプロイトスクリプトがリリースされたことを受けて、複数の攻撃の波が発生しました。
SharePointキャンペーンの被害者には、米国の複数の著名な政府機関も含まれていると報告されています。
Bloombergは7月23日、国家核安全保障局(NNSA)および教育省が使用していたオンプレミスのSharePointサーバーが侵害されたと報じ、ワシントン・ポストは保健福祉省(DHHS)が被害を受けたと報じました。
NextGovは、事情に詳しい人物から、国土安全保障省(DHS)も中国のハッカーによる被害者の一つであると知らされたと伝えています。
翻訳元: https://www.infosecurity-magazine.com/news/ransomware-compromised-sharepoint/