マイクロソフトは、中国を拠点とする3つの脅威グループが、CVE-2025-53770およびCVE-2025-53771という、インターネットに公開されたSharePointサーバーに存在する2つの重大かつ高深刻度の脆弱性を積極的に悪用していることを確認しました。
これら2つのバグを連鎖的に悪用する手法は、サイバーセキュリティコミュニティによって「ToolShell」と名付けられています。
7月22日に公開された新しいブログで、Microsoft Threat Intelligenceは、これらのグループが中国を拠点とする高度持続的脅威(APT)グループであるLinen TyphoonとViolet Typhoon、そして動機や正体が現時点で不明な中国拠点の脅威アクターStorm-2603を含むことを確認しました。
Linen Typhoon、Violet Typhoon、Storm-2603の背後にいるのは誰か
Linen Typhoon(APT27)は、少なくとも2010年から活動している中国国家支援のアクターです。主に外国大使館を標的とし、政府、防衛、技術、人権関連組織のデータ収集を目的に、ドライブバイ型の侵害や既存のエクスプロイトなどの手法を用いて組織を侵害します。
このグループは、Bronze Union、Circle Typhoon、Budworm、Emissary Panda、Earth Smilodon、GreedyTaotie、Iron Taurus、Iron Tiger、Lucky Mouse、Red Phoenixなど多くの別名でも知られています。
2025年3月、米国はAPT27グループ内で活動していると考えられる中国人2名を起訴・告発しました。2人は、米国内の複数の企業、機関、自治体を利益目的でハッキングし、数百万ドル相当の損害を与えたとされています。
Violet Typhoon(APT31)は、少なくとも2012年から活動している中国国家支援のアクターです。
また、Bronze Vinewood、Judgment Panda、Red keres、Zirconiumなどの別名でも知られるViolet Typhoonは、帰属が不明な別のグループ(Storm-0558として追跡)との重複は最小限です。
Violet Typhoonは通常、知的財産の窃取を専門としており、特定の組織がその分野で競争力を持つためのデータやプロジェクトを標的とします。主な標的は、元政府・軍関係者、非政府組織(NGO)、シンクタンク、高等教育機関、デジタル・印刷メディア、米国、欧州、東アジアの金融・医療分野などです。
Violet Typhoonは、標的組織の公開ウェブインフラの脆弱性を継続的にスキャンし、発見した弱点を悪用してウェブシェルを設置します。
最後に、マイクロソフトは「中程度の確信度」でStorm-2603が中国拠点の脅威アクターであると評価していますが、同社の脅威インテリジェンスチームは現時点でこのグループと他の既知の中国系脅威アクターとの関連性を特定していません。
「マイクロソフトは、この脅威アクターがオンプレミスのSharePoint脆弱性を通じてMachineKeysを盗もうとする試みと関連付けて追跡しています」とMicrosoft Threat Intelligenceチームは述べています。
さらに、同社はこの脅威アクターが過去にWarlockおよびLockbitランサムウェアを展開していたことを観測していますが、現時点ではその目的を自信を持って評価できていません。
過去の帰属評価と一致
この新たなマイクロソフトの評価は、Google Cloud傘下のMandiantによる以前の見積もりと一致しています。
7月22日早く、Google CloudのMandiant Consulting CTOであるCharles Carmakal氏は、「この初期の悪用に関与したアクターのうち少なくとも1つは、中国に関連する脅威アクターであると評価しています」とコメントしました。
また、サイバーセキュリティ専門家や潜在的な被害者に対し、複数のアクターがこれらの脆弱性を積極的に悪用している可能性が高いことを認識する重要性を強調しました。
「私たちは、この傾向が今後も続くと完全に予想しています。さまざまな動機を持つ他の脅威アクターもこのエクスプロイトを利用するでしょう」とCarmakal氏は付け加えました。
この発言はマイクロソフトの評価と一致しています。「これらのエクスプロイトを使用している他のアクターに関する調査も継続中です。これらのエクスプロイトの急速な普及により、マイクロソフトは、脅威アクターが未修正のオンプレミスSharePointシステムへの攻撃にこれらを引き続き統合すると高い確信度で評価しています。」
翻訳元: https://www.infosecurity-magazine.com/news/sharepoint-toolshell-chinese/