マイクロソフトは、中国の国家支援型脅威グループ2つと、中国を拠点とする別の攻撃者が、最初に週末にSharePointサーバーに大混乱を引き起こしたゼロデイ脆弱性を悪用していると発表しました。
中国政府と関係のある脅威グループであるLinen TyphoonとViolet Typhoon、そしてマイクロソフトがStorm-2603と追跡している攻撃者が、オンプレミスのSharePointサーバーに影響を与える2つのゼロデイ脆弱性を悪用していると、Microsoft Threat Intelligenceは火曜日のブログ記事で述べています。
これらのゼロデイ(CVE-2025-53770およびCVE-2025-53771)は、研究者によると、政府機関を含む複数の分野にわたり、世界中の数百の組織に侵入するために大規模に悪用されています。
両方の不具合は、マイクロソフトが今月初めのセキュリティアップデートで既に対処していた、以前に公開された脆弱性の亜種です。新たな欠陥を発見した後、マイクロソフトはパッチの開発を急ぎ、月曜日遅くにはすべてのバージョンのSharePoint向けにアップデートをリリースしました。
攻撃の連鎖は現在も続いており、拡大しています。
「これらのエクスプロイトが急速に採用されていることから、マイクロソフトは、脅威アクターが未パッチのオンプレミスSharePointシステムに対する攻撃にこれらを引き続き組み込むと高い確信を持っています」とMicrosoft Threat Intelligenceの研究者はブログ記事で述べています。
攻撃による広範な警戒感を強調するように、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、週末に異例のアクティブ攻撃に関する警告を発し、日曜日にはこの欠陥を既知の悪用脆弱性カタログに追加しました。
マイクロソフトの初期の帰属評価は、重要インフラに対する脅威に対抗するために集まっている他のインシデント対応者や研究者の見解と一致しています。攻撃の背後にいる脅威グループの動機や出自は、中国およびその政府を超えて拡大しています。
Mandiant Consultingの最高技術責任者であるCharles Carmakal氏は、初期のゼロデイ悪用は広範かつ機会主義的だったと述べています。
「この初期の悪用に関与した攻撃者のうち少なくとも1つは、中国に関連する脅威アクターです」と彼はメールで述べました。「複数のアクターが現在この脆弱性を積極的に悪用していることを理解することが重要です。さまざまな動機を持つ他の脅威アクターもこのエクスプロイトを利用するため、この傾向が続くと私たちは完全に予想しています。」
マイクロソフトの研究者によると、Linen Typhoon、Violet Typhoon、Storm-2603は、以前に公開されたSharePointの脆弱性(CVE-2025-49706およびCVE-2025-49704)を、早くも7月7日から悪用しようとしていました。Typhoonは、マイクロソフトが中国発の国家支援型脅威グループに付けるファミリーネームであり、Stormは開発中の脅威グループに対して同社が使用する呼称です。
2012年から活動しているLinen Typhoonは、政府、防衛、戦略的計画、人権分野の組織から知的財産を盗むことに注力してきたとマイクロソフトは述べています。
2015年に出現したViolet Typhoonは、元政府・軍関係者、非政府組織、シンクタンク、高等教育、メディア、金融、医療関連産業を標的とするスパイ活動型脅威グループです。「このグループは、標的組織の公開ウェブインフラの脆弱性を継続的にスキャンし、発見した弱点を悪用してウェブシェルをインストールします」とマイクロソフトの研究者は述べています。
Storm-2603は、中国を拠点とし、侵害されたSharePointサーバーからMachineKeysを盗もうとしている攻撃者です。マイクロソフトによると、暗号鍵の窃取により、攻撃者はパッチ適用後も被害者環境への永続的なアクセスを維持できる可能性があると研究者らは警告しています。
翻訳元: https://cyberscoop.com/microsoft-sharepoint-zero-days-china-typhoon/