Microsoft：SharePointサーバーもランサムウェア攻撃の標的に

中国のハッキンググループが、最近パッチが適用されたToolShellのゼロデイ脆弱性チェーンを標的とした広範な攻撃に脆弱なMicrosoft SharePointサーバーに、Warlockランサムウェアを展開しています。

Storm-2603として追跡されているこれらの中国拠点の脅威アクターは、以前にもMicrosoftの研究者によってLockbitランサムウェア攻撃との関連が指摘されています。

「Microsoftは、この脅威アクターがオンプレミスのSharePointの脆弱性を利用してMachineKeysを盗もうとする試みと関連付けて追跡しています」と同社は水曜日のレポートで述べています。「2025年7月18日以降、MicrosoftはStorm-2603がこれらの脆弱性を利用してランサムウェアを展開していることを確認しています。」

被害者のネットワークに侵入した後、Storm-2603のオペレーターはMimikatzハッキングツールを使用してLSASSメモリから平文の認証情報を抽出します。

その後、PsExecやImpacketツールキットを使って横方向に移動し、Windows Management Instrumentation（WMI）経由でコマンドを実行し、グループポリシーオブジェクト（GPO）を変更して、侵害されたシステム全体にWarlockランサムウェアを配布します。

「MicrosoftがStorm-2603として追跡しているグループは、中国拠点の脅威アクターであると中程度の確信を持って評価しています。Microsoftは、Storm-2603と他の既知の中国の脅威アクターとの関連性は特定していません」と同社は付け加えています。

「お客様は、オンプレミスのSharePoint Serverのセキュリティアップデートを直ちに適用し、当社ブログの詳細な緩和策ガイダンスに従ってください」とMicrosoftは警告しています。

Microsoftの脅威インテリジェンス研究者は、オランダのサイバーセキュリティ企業Eye SecurityがCVE-2025-49706およびCVE-2025-49704のゼロデイ攻撃を初めて検出してから数日後の火曜日、Linen TyphoonおよびViolet Typhoonという中国政府支援のハッキンググループもこれらの攻撃に関連していると指摘しました。

その後、Eye SecurityのCTOであるPiet Kerkhofs氏はBleepingComputerに対し、侵害された組織の数ははるかに多く、「ほとんどがすでにしばらく前から侵害されている」と語りました。サイバーセキュリティ企業の統計によると、攻撃者はこれまでに少なくとも400台のサーバーにマルウェアを感染させ、世界中で148の組織に侵入しています。

CISAもまた、同じToolShellエクスプロイトチェーンの一部であるCVE-2025-53770リモートコード実行の脆弱性を、実際に悪用されている脆弱性カタログに追加し、米国連邦機関に対して1日以内にシステムの保護を命じました。

しかし今週初め、エネルギー省は、進行中のMicrosoft SharePoint攻撃で国家核安全保障局（NNSA）のネットワークが侵害されたことを認めましたが、同省は事件で機密情報や分類情報が漏洩した証拠はまだ見つかっていないとしています。

Bloombergの報道によると、攻撃者は米国教育省、ロードアイランド州議会、フロリダ州歳入局、さらにヨーロッパや中東の各国政府のネットワークにも侵入したとされています。