_Tithi_Luadthong_alamy.jpg?width=1280&auto=webp&quality=80&format=jpg&disable=upscale "Warlock, wearing a dark robe, in a shadowy forest")
出典: Tithi Luadthong(Alamy Stock Photo経由)
研究者たちは、Warlockランサムウェアがどのようにして脆弱なSharePoint利用者の環境に侵入するかを明らかにしました。
トレンドマイクロの新しい調査では、Warlockを取り巻く最新の動向を取り上げています。Warlockは、2024年6月初旬にロシアのサイバー犯罪フォーラムRAMPで公に登場したランサムウェアグループです。公開直後、同グループは複数国の政府機関や民間組織を含む十数件以上の攻撃を自らの犯行と主張しました。
トレンドマイクロによると、このグループはBlack Bastaの派生やリブランドの可能性もあり、その後世界中でより広範な攻撃を主張しています。トレンドマイクロのブログ記事の多くは、公開されているオンプレミスのMicrosoft SharePointサーバーを標的とした最近のキャンペーンに関するものです。
先月、MicrosoftはオンプレミスのSharePointサーバーに影響を与える一連の脆弱性(なりすましの脆弱性CVE-2025-49706、リモートコード実行のバグCVE-2025-49704、関連するCVE-2025-53770およびCVE-2025-53771)を公表しました。当時、Microsoftは中国支援の脅威グループであるLinen Typhoon、Violet Typhoon、Storm-2603がこれらの脆弱性を標的にしていると述べましたが、主にStorm-2603がWarlockランサムウェアを使用していることに注意を促していました。
これらの脆弱性は、SharePoint Server Subscription、2016、2019に影響します。現在パッチが提供されており、Microsoftは脆弱な利用者に対し、直ちに適切なセキュリティ更新プログラムを適用するよう推奨しています。これらの脆弱性はMicrosoft 365のSharePoint Onlineには影響しません。
トレンドマイクロの調査は、Warlockランサムウェアが脆弱なSharePointサーバーを持つ組織をどのように侵害するかを詳しく解説しています。
SharePointキャンペーン
トレンドマイクロによると、「Warlockは漏洩したLockBit 3.0ビルダーのカスタマイズ派生版であるようです」。5月初旬、悪名高いランサムウェアグループが何者かによって侵害され、LockBitのビルドや内部コミュニケーション、暗号通貨アドレス、その他のデータが漏洩しました。
「2025年中頃、脅威アクターStorm-2603は、SharePoint環境に対する同一の攻撃チェーンでLockBit BlackとWarlockの両方を、7Zipなどの正規ユーティリティを使ったDLLサイドローディング経由で展開しました」と研究者は述べています。「これは、2022年に公開された同じビルダーフレームワークを使ってWarlockが構築されたことを示しており、ひとつの漏洩がLockBitベースの亜種の拡散を促したことを浮き彫りにしています。」
SharePointの脆弱性を利用して初期アクセスを得た後、脅威アクターは権限昇格を行います。これには、ドメイン内に新しいグループポリシーオブジェクト(GPO)を作成し、組み込みのゲストアカウントを有効化し、そのアカウントにローカル管理者権限を付与することが含まれます。
攻撃者は次に、Windowsコマンドシェルを使用して悪意のあるスクリプトやバッチジョブを実行し、ネットワーク接続を確立して必要なツールやランサムウェアのバイナリを取得します。
検知を回避するため、脅威アクターは「Trojan.Win64.KILLLAV.I」という名前のバイナリを実行し、稼働中のプロセスを特定して、主にセキュリティソフトの実行ファイルなど特定のプログラムに関連するプロセスを終了させます。トレンドマイクロは「標的となったすべてのプロセスはTrendのセキュリティ製品に関連している」と観察しています。
「Trendのプロセスやサービスを終了しようとする試みは、当社の自己防御技術によって自動的にブロックされ、記録されます」とトレンドマイクロのブログ記事は述べています。
攻撃者はまた、Cloudflareのトンネリングサービスを利用して、侵害された環境内にコマンド&コントロールチャネルを構築します。これは攻撃者に人気の手法です。
Warlockランサムウェアが被害者環境に足場を築くと、トレンドマイクロによれば、「広範な偵察」を実施します。これには、ドメイン関係や信頼境界のマッピング、システム情報の収集、インストール済みアプリケーションの照会、ディレクトリ内容やアカウント権限の特定などが含まれます。
ランサムウェアはMimikatzなどのツールを使って認証情報のダンピングを行います。ペイロードやツールを複数のマシン間でコピーするために、WarlockはServer Message Block(SMB)などのリモートツールを使用します。
最後に、展開時にはランサムウェアのメモが影響を受けたディレクトリ内に配置されます。
まとめと対策
研究者たちはWarlockを「パッチ未適用の企業環境がいかに迅速かつ深刻に侵害されうるかのケーススタディ」と呼びました。
「SharePointの認証およびデシリアライズの脆弱性を悪用することで、攻撃者は迅速にコード実行権限と権限昇格を獲得し、システム内を横断的に移動し、大規模に破壊的なランサムウェアを配信できました」と研究者は述べています。「ウェブシェルの展開やキー抽出から認証情報の窃取、データ流出に至るまで、各段階が包括的なパッチ適用、ネットワーク防御、階層的な検知能力の緊急性を強調しています。」
トレンドマイクロは顧客にオンプレミスのSharePointサーバーを更新するよう促しています。また、Warlockによる脅威に対応するためのより広範な推奨事項も示しています。
「組織は不審なアカウント活動やポリシー変更を積極的に監視し、管理共有へのアクセスを制限し、異常なスクリプトやコマンドの実行を即座に検知・報告すべきです。また、セキュリティツールの無効化試行や不正なサービス・ドライバーのインストールを検知・対応し、横断的な移動、認証情報のダンピング、予期せぬRDP構成変更の兆候を特定する必要があります」と研究者は述べています。「プロトコルトンネリング、コマンド&コントロール活動、名前変更や偽装されたツールによるデータ流出の継続的な監視が不可欠です。」