コンテンツにスキップするには Enter キーを押してください

マイクロソフト、進行中のSharePoint悪用を中国の3つのハッカーグループに関連付け

投稿日 2025年7月23日

2025年7月22日Ravie Lakshmanan脆弱性 / 脅威インテリジェンス

Image

マイクロソフトは、インターネットに公開されているSharePoint Serverインスタンスのセキュリティ脆弱性の悪用について、Linen TyphoonおよびViolet Typhoonという2つの中国系ハッカーグループに2025年7月7日までに正式に関連付け、以前の報告を裏付けました。

同社はまた、Storm-2603として追跡している中国拠点の3つ目の脅威アクターも、標的組織への初期アクセスを得るためにこれらの脆弱性を武器化していることを観測したと述べています。

「これらのエクスプロイトの急速な採用により、マイクロソフトは、脅威アクターがパッチ未適用のオンプレミスSharePointシステムに対する攻撃にこれらを引き続き統合する可能性が非常に高いと評価しています」と、同社は本日公開したレポートで述べています。

脅威活動クラスターの簡単な説明は以下の通りです。

  • Linen Typhoon(別名 APT27、Bronze Union、Emissary Panda、Iodine、Lucky Mouse、Red Phoenix、UNC215)は、2012年から活動しており、これまでにSysUpdate、HyperBro、PlugXなどのマルウェアファミリーに関連付けられています。
  • Violet Typhoon(別名 APT31、Bronze Vinewood、Judgement Panda、Red Keres、Zirconium)は、2015年から活動しており、これまでに米国、フィンランド、チェコを標的とした攻撃に関連付けられています。
  • Storm-2603は、中国拠点と疑われる脅威アクターで、過去にWarlockやLockBitランサムウェアを展開しています。

これらの脆弱性は、オンプレミスのSharePointサーバーに影響し、CVE-2025-49706(スプーフィングの脆弱性)およびCVE-2025-49704(リモートコード実行のバグ)に対する不完全な修正を利用しています。これらのバイパスには、それぞれCVE-2025-53771およびCVE-2025-53770というCVE識別子が割り当てられています。

Image

マイクロソフトが観測した攻撃では、脅威アクターがToolPaneエンドポイントへのPOSTリクエストを通じてオンプレミスのSharePointサーバーを悪用し、認証バイパスおよびリモートコード実行を引き起こしています。

他のサイバーセキュリティベンダーが明らかにしたところによると、感染チェーンは「spinstall0.aspx」(別名 spinstall.aspx、spinstall1.aspx、spinstall2.aspx)と呼ばれるウェブシェルの展開につながり、攻撃者がMachineKeyデータを取得・窃取できるようになります。

サイバーセキュリティ研究者のRakesh Krishnan氏は、SharePointのエクスプロイトのフォレンジック分析中に「3つの異なるMicrosoft Edgeの呼び出しが特定された」と述べています。これにはNetwork Utility Process、Crashpad Handler、GPU Processが含まれます。

「それぞれがChromiumのアーキテクチャ内で独自の機能を果たしていますが、総合的には振る舞いの模倣とサンドボックス回避の戦略を示しています」とKrishnan氏は指摘し、さらにウェブシェルがGoogleのクライアントアップデートプロトコル(CUP)を利用して「悪意のあるトラフィックを通常のアップデートチェックに紛れ込ませている」ことにも注意を促しています。

この脅威によるリスクを軽減するためには、SharePoint Server Subscription Edition、SharePoint Server 2019、SharePoint Server 2016の最新アップデートを適用し、SharePointサーバーのASP.NETマシンキーをローテーションし、Internet Information Services(IIS)を再起動し、Microsoft Defender for Endpointまたは同等のソリューションを導入することが不可欠です。

また、すべてのオンプレミスSharePoint展開に対してAntimalware Scan Interface(AMSI)とMicrosoft Defender Antivirus(または同等のソリューション)を統合・有効化し、AMSIをフルモードで有効にすることも推奨されます。

「追加のアクターがこれらのエクスプロイトを利用してパッチ未適用のオンプレミスSharePointシステムを標的にする可能性があり、組織が直ちに緩和策とセキュリティアップデートを実施する必要性がさらに強調されます」とマイクロソフトは述べています。

マイクロソフトによる今回の確認は、中国に関連する最新のハッキングキャンペーンですが、Windowsの開発元が北京系の脅威アクターに標的とされたのはこれが2度目です。2021年3月には、Silk Typhoon(別名 Hafnium)として追跡される敵対的集団が、Exchange Serverの複数の当時のゼロデイを利用した大規模悪用活動に関連付けられました。

今月初めには、33歳の中国人、Xu Zeweiがイタリアで逮捕され、ProxyLogonとして知られるMicrosoft Exchange Serverの脆弱性を武器化して、米国の組織や政府機関に対するサイバー攻撃を行った罪で起訴されました。

翻訳元: https://thehackernews.com/2025/07/microsoft-links-ongoing-sharepoint.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です