出典:RooM the Agency(Alamyストックフォト経由)
中国を拠点とする脅威アクター「Storm-2603」が、オンプレミスのSharePoint利用者をWarlockランサムウェアで攻撃していることが確認されています。
これはMicrosoftからの情報で、同社は6月23日に前日に公開したブログ記事を更新し、3つの国家支援アクター(Linen Typhoon、Violet Typhoon、Storm-2603)が、オンプレミスのSharePoint利用者を標的にしていることを詳述しました。攻撃には、なりすましの脆弱性CVE-2025-49706やリモートコード実行のバグCVE-2025-49704、さらに関連するCVE-2025-53770およびCVE-2025-53771が利用されています。これらの脆弱性はViettel Cyber Securityの研究者によって発見され、「ToolShell」と呼ばれる攻撃チェーンを使って脆弱性の悪用方法が示されました。
Microsoftは今月初めに、これらの脆弱性が実際に悪用されていることを公表し、その後数日間で、米国核兵器庁などの一部顧客が攻撃を受けたと報告しています。
これらの脆弱性は、SharePoint Server Subscription、2019、2016に影響し、Microsoftはこれらの問題に対処するパッチをリリースしています。Microsoft 365のSharePoint Onlineには影響しません。「お客様はこれらの更新プログラムを直ちに適用し、保護を確実にしてください」とMicrosoftは述べています。
同社は6月23日の更新で、Storm-2603がWarlockランサムウェアを展開する手口を詳述しました。
Warlockによる攻撃
Microsoftによると、Storm-2603はここ数日でランサムウェアを展開していることが観測されています。中国の脅威アクターとしては珍しくないものの、今回のキャンペーンでは、他のアクターが諜報活動(Violet Typhoon)や国家所有の知的財産の窃取(Linen Typhoon)を試みている中での動きとして注目されます。
一方で、Storm-2603がLockBitやWarlockランサムウェアを展開していることが観測されているものの、Microsoftはブログで「現時点ではこの脅威アクターの目的を自信を持って評価できていない」と述べています。
ランサムウェアは、(ウクライナ侵攻時のロシアのような)破壊目的で使われない場合、通常は金銭目的の攻撃者によって利用されます。
Microsoftのブログによれば、Storm-2603は7月18日にWarlockランサムウェアを展開しているのが確認されており、また別途「Microsoftはこの脅威アクターがオンプレミスSharePointの脆弱性を利用してMachineKeysの窃取を試みていることも追跡している」としています。
このアクターは、前述の脆弱性を利用して初期アクセスを獲得し、ディスカバリーコマンドでユーザーコンテキストを列挙し権限レベルを確認、スケジュールされたタスクの作成やIIS(Internet Information Services)コンポーネントの操作による永続化、Mimikatzによる認証情報の取得、追加コマンドによる横展開などが観測されています。最終的に「Storm-2603は、侵害された環境でWarlockランサムウェアを配布するためにグループポリシーオブジェクト(GPO)を変更している」とMicrosoftはブログで述べています。
同社はさらに、「他の攻撃者もこれらのエクスプロイトを使ってパッチ未適用のオンプレミスSharePointシステムを標的にし続けるため、組織は直ちに緩和策とセキュリティアップデートを実施する必要がある」と強調しています。
Dark Readingは追加情報を求めてMicrosoftに問い合わせましたが、同社の広報担当者はこれ以上のコメントを控えました。
防御側ができること
Microsoftのブログ記事には、侵害の兆候や実質的な緩和策のガイダンスが含まれています。
関連するセキュリティアップデートの適用に加え、Microsoftは、エンドポイント保護の導入、SharePoint Server ASP.NETマシンキーのローテーション、iisreset.exeを使った全SharePointサーバーでのIIS再起動、インシデント対応計画の策定を推奨しています。ブログ記事には、Microsoft Defenderユーザー向けの具体的な推奨事項も記載されています。
ここでの最大の教訓は、この脆弱性の悪用が、まさに今本格化し始めているということです。
「他の攻撃者によるこれらのエクスプロイトの使用についても調査が継続中です」とMicrosoftの投稿にはあります。「これらのエクスプロイトの急速な普及により、Microsoftは、脅威アクターが今後もパッチ未適用のオンプレミスSharePointシステムへの攻撃にこれらを統合し続けると高い確信を持って評価しています。」