中国と関連があると考えられているハッカーが、Microsoft SharePointのToolShell脆弱性(CVE-2025-53770)を利用し、政府機関、大学、通信サービスプロバイダー、金融機関を標的とした攻撃を行いました。
このセキュリティ上の欠陥はオンプレミスのSharePointサーバーに影響し、
Microsoftは以前発表したように、ToolShellは中国の脅威グループ3つ、Budworm/Linen Typhoon、Sheathminer/Violet Typhoon、Storm-2603/Warlockランサムウェアによって悪用されていました。
本日発表されたレポートで、Broadcom傘下のサイバーセキュリティ企業Symantecは、ToolShellが中東、南米、米国、アフリカのさまざまな組織を侵害するために使用され、これらのキャンペーンではSalt Typhoon中国系ハッカーに典型的なマルウェアが利用されたと述べています:
- 中東の通信サービスプロバイダー
- アフリカのある国の政府部門2つ
- 南米の政府機関2つ
- 米国の大学
- アフリカの州技術機関
- 中東の政府部門
- ヨーロッパの金融会社
Symantecのレポートで焦点となっている通信企業への活動は、7月21日にCVE-2025-53770が悪用され、永続的なアクセスを可能にするウェブシェルが設置されたことから始まりました。
その後、Go言語ベースのバックドア「Zingdoor」のDLLサイドローディングが行われ、これによりシステム情報の収集、ファイル操作、リモートコマンド実行が可能となりました。
さらに、別のサイドローディングの段階で「ShadowPadトロイの木馬と思われるもの」が起動され、その後RustベースのKrustyLoaderツールがドロップされ、最終的にSliverオープンソースのポストエクスプロイトフレームワークが展開されたと研究者らは述べています。
注目すべきは、これらのサイドローディングの手順が、正規のTrend MicroおよびBitDefenderの実行ファイルを使って行われていた点です。南米での攻撃では、脅威アクターがSymantecの名前に似せたファイルを使用していました。
続いて、攻撃者はProcDump、Minidump、LsassDumperを使った認証情報のダンピングを実施し、PetitPotam(CVE-2021-36942)を利用してドメイン侵害を行いました。
研究者によれば、攻撃で使用された公開されている「生きた」ツールのリストには、MicrosoftのCertutilユーティリティ、GoGo Scanner(レッドチーム用スキャンエンジン)、データ流出やコマンド&コントロール、侵害デバイスでの永続化を可能にするRevsocksユーティリティが含まれていました。
Symantecは、ToolShell脆弱性がこれまで知られていたよりも多くの中国系脅威アクターによって悪用されていたことを示す証拠を発見したと述べています。
