正体不明の脅威アクターが、最近修正されたMicrosoft SharePointのゼロデイ脆弱性チェーンを悪用した攻撃で、国家核安全保障局(NNSA)のネットワークに侵入したと報じられています。
NNSAは米国エネルギー省の一部である半自治的な政府機関で、国内の核兵器備蓄の維持や、米国内外での核・放射線緊急事態への対応を担っています。
エネルギー省の広報担当者は、先週ハッカーがNNSAのネットワークにアクセスしたことを声明で認めました。
「7月18日(金)、Microsoft SharePointのゼロデイ脆弱性の悪用がエネルギー省に影響を及ぼし始めました」と広報担当者はBleeombergに語りました。「当省はMicrosoft M365クラウドの広範な利用と非常に優れたサイバーセキュリティシステムにより、影響は最小限に抑えられました。」
同機関は、影響を受けたのは「ごく少数のシステムのみ」であり、「すべての影響を受けたシステムは復旧中」と付け加えました。
また、匿名の関係者によれば、今回の侵害で機密情報や分類情報が流出した形跡はないと考えられています。
ロシア連邦対外情報庁(SVR)のハッキング部門であるAPT29ロシア国家支援型脅威グループも、2019年にトロイの木馬化されたSolarWinds Orionアップデートを利用して米国核兵器機関に侵入しています。
エネルギー省の広報担当者は、BleepingComputerの本日早朝の問い合わせにはすぐに応じませんでした。
中国国家系ハッカーとの関連、400台以上のサーバーが侵害
火曜日、MicrosoftとGoogleは、Microsoft SharePointのゼロデイ脆弱性チェーン(ToolShellとして知られる)を標的とした大規模な攻撃が、中国国家支援型ハッカーグループに関連していると発表しました。
「Microsoftは、中国の国家系アクターであるLinen TyphoonおよびViolet Typhoonが、インターネットに公開されたSharePointサーバーを標的にこれらの脆弱性を悪用していることを確認しています」とMicrosoftは述べています。
「さらに、Storm-2603として追跡されている別の中国拠点の脅威アクターも、これらの脆弱性を悪用していることを確認しています。他のアクターによる悪用についても調査が継続中です。」
オランダのサイバーセキュリティ企業Eye Securityは、金曜日にこのゼロデイ攻撃を最初に検知し、すでに54以上の組織が侵害されており、その中には国家機関や多国籍企業も含まれていると述べました。
サイバーセキュリティ企業Check Pointはその後、7月7日まで遡る悪用の兆候を確認したと明らかにし、北米および西ヨーロッパの政府、通信、テクノロジー関連の数十の組織が標的になっていたとしています。
その後、Eye SecurityのCTOであるPiet Kerkhofs氏はBleepingComputerに対し、「すでに多くの組織がしばらく前から侵害されている」とし、被害組織数はさらに多いと語りました。同社の統計によると、これらの攻撃を行っている脅威アクターは、すでに少なくとも400台のサーバーにマルウェアを感染させ、世界中で148の組織に侵入しています。
CISAもまた、ToolShellエクスプロイトチェーンの一部であるCVE-2025-53770リモートコード実行の脆弱性を悪用された脆弱性カタログに追加し、米国連邦機関に対し1日以内のシステム保護を命じました。
クラウド検知&対応入門
新たな脅威をリアルタイムで封じ込め、ビジネスへの影響を未然に防ぎましょう。
この実践的で分かりやすいガイドで、クラウド検知&対応(CDR)がセキュリティチームにもたらす優位性を学びましょう。