同社は、セキュリティ研究者が攻撃の激化を警告する中、顧客にセキュリティアップデートの適用を促しました。
マイクロソフトは火曜日、最近公開された脆弱性をSharePointサーバーで悪用している、中国政府が支援する2つの経験豊富な脅威グループを特定したと発表しました。
マイクロソフトが「Linen Typhoon」と「Violet Typhoon」と呼ぶこれらのグループは、CVE-2025-49706として追跡されているなりすましの脆弱性や、CVE-2025-49704として追跡されているリモートコード実行の脆弱性を利用して、SharePointを運用するコンピュータネットワークへの侵入を試みている多くのハッカーの一部です。(マイクロソフトはこれらの脆弱性に対し、CVE-2025-53770およびCVE-2025-53771という新しいCVEを割り当てて修正済みです。)
マイクロソフトによると、「Storm-2603」として追跡されている中国関連の別の攻撃者も、これらの脆弱性を悪用しています。
GoogleのMandiant部門の幹部も、また確認しました。中国関連のハッカーチームが、SharePointの脆弱性を利用するアクターの増加の一部であることを月曜日に明らかにしました。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は日曜日、CVE-2025-53770を既知の悪用脆弱性カタログに追加しました。
マイクロソフトによると、ハッカーは7月7日にはすでにこれらの脆弱性を悪用し、標的組織への初期侵入を果たしていました。
この攻撃により、世界中の数十の組織が侵害されており、その中には複数の政府機関や、さまざまな業界の企業も含まれます。
Palo Alto Networksの研究者によると、ハッカーはこれらの脆弱性を利用して多要素認証やシングルサインオンシステムを回避し、特権アクセスを取得して永続的なバックドアの設置や機密データの取得、暗号鍵の窃取を行っています。
Rapid7も、顧客環境での積極的な悪用を観測したと述べています。
2012年に初めて確認されたLinen Typhoonは、既存のエクスプロイトを利用して知的財産を窃取し、政府、防衛産業、戦略計画組織を標的にしてきたとマイクロソフトは述べています。
2015年から活動しているViolet Typhoonは、米国、ヨーロッパ、東アジアの政府・軍関係者、非政府組織、高等教育機関、デジタル・印刷メディア、金融機関、医療機関を標的にしてきたと同社は述べています。このグループは通常、公開されたウェブインフラの脆弱性をスキャンし、ウェブシェルをインストールします。
研究者らは、Storm-2603がオンプレミスのSharePointサーバーの脆弱性を利用してマシンキーを窃取していることを観測しています。この脅威アクターは、以前にもこのアクセスを利用してWarlockやLockBitランサムウェアを展開していました。マイクロソフトは、同グループの現在の目的についてはまだ把握していないと述べています。
マイクロソフトは、他の脅威アクターによる悪用についても引き続き調査しており、未修正のオンプレミスSharePointサーバーに対する攻撃で、さらに多くのハッカーが新たな脆弱性を取り入れる可能性があると警告しています。
翻訳元: https://www.cybersecuritydive.com/news/microsoft–china-state-hackers-sharepoint/753701/