2025年7月24日Ravie Lakshmanan脆弱性 / ランサムウェア
マイクロソフトは、SharePointの脆弱性を積極的に悪用している脅威アクターの1つが、標的となるシステムにWarlockランサムウェアを展開していることを明らかにしました。
このテクノロジー大手は、水曜日に共有したアップデートの中で、「Storm-2603による悪用活動の継続的な監視から得られた拡張分析と脅威インテリジェンス」に基づく発見であると述べています。
金銭目的の活動に関連付けられているこの脅威アクターは、中国拠点と疑われる脅威アクターであり、過去にもWarlockやLockBitランサムウェアを展開したことで知られています。
攻撃の連鎖は、CVE-2025-49706(なりすましの脆弱性)およびCVE-2025-49704(リモートコード実行の脆弱性)の悪用を伴い、未修正のオンプレミスSharePointサーバーを標的にしてspinstall0.aspxウェブシェルペイロードを展開します。
「この初期アクセスは、SharePointをサポートするw3wp.exeプロセスを使用したコマンド実行に利用されます」とマイクロソフトは述べています。「Storm-2603はその後、whoamiを含む一連の探索コマンドを実行し、ユーザーコンテキストの列挙や権限レベルの検証を行います。」
攻撃は、脅威アクターがターゲットネットワーク内にさらに深く潜り込む際にcmd.exeやバッチスクリプトを使用すること、またservices.exeがWindowsレジストリを変更してMicrosoft Defenderの保護を無効化するために悪用されることが特徴です。
Storm-2603は永続化のためにspinstall0.aspxを利用するだけでなく、スケジュールされたタスクの作成やInternet Information Services(IIS)コンポーネントの変更を行い、マイクロソフトが「疑わしい.NETアセンブリ」と表現するものを起動することが観測されています。これらの行動は、被害者が初期アクセス経路を塞ぐ措置を講じた場合でも継続的なアクセスを確保するために設計されています。
その他注目すべき攻撃の側面としては、Mimikatzを展開してローカルセキュリティ機関サブシステムサービス(LSASS)のメモリを標的に認証情報を収集し、その後PsExecやImpacketツールキットを用いて横方向移動を行うことが挙げられます。
「Storm-2603はその後、グループポリシーオブジェクト(GPO)を変更し、侵害された環境でWarlockランサムウェアを配布していることが確認されています」とマイクロソフトは述べています。
緩和策として、ユーザーは以下の手順に従うことが推奨されています –
- オンプレミスのMicrosoft SharePoint Serverをサポート対象バージョンにアップグレードする
- 最新のセキュリティアップデートを適用する
- Antimalware Scan Interfaceが有効かつ正しく構成されていることを確認する
- Microsoft Defender for Endpointまたは同等のソリューションを導入する
- SharePoint ServerのASP.NETマシンキーをローテーションする
- iisreset.exeを使用してすべてのSharePointサーバーでIISを再起動する(AMSIを有効化できない場合は、新しいセキュリティアップデートをインストール後にキーをローテーションし、IISを再起動することを推奨)
- インシデント対応計画を実施する
この事態は、SharePoint Serverの脆弱性が大規模に悪用され、すでに少なくとも400の被害者が出ている中で発生しています。Linen Typhoon(別名APT27)およびViolet Typhoon(別名APT31)は、この悪意ある活動に関与しているとされる他の中国のハッキンググループです。中国はこれらの疑惑を否定しています。
「サイバーセキュリティはすべての国が直面する共通の課題であり、対話と協力を通じて共同で対処すべきです」と中国外務省報道官の郭家坤氏は述べました。「中国は法律に基づきハッキング活動に反対し、これと戦っています。同時に、サイバーセキュリティ問題を口実とした中国への中傷や攻撃にも反対します。」
翻訳元: https://thehackernews.com/2025/07/storm-2603-exploits-sharepoint-flaws-to.html