ランサムウェア集団が最近、Microsoft SharePointの脆弱性チェーンを標的とした継続中の攻撃に加わりました。これは、すでに世界中で少なくとも148の組織が侵害されている広範な悪用キャンペーンの一部です。
Palo Alto NetworksのUnit 42のセキュリティ研究者は、このSharePointエクスプロイトチェーン(「ToolShell」と呼ばれる)に関与するインシデントを分析中に、オープンソースのMauri870コードに基づく4L4MD4Rランサムウェアの亜種を発見しました。
このランサムウェアは、theinnovationfactory[.]it(145.239.97[.]206)からランサムウェアをダウンロードして実行するマルウェアローダーが発見された後、7月27日に検出されました。
このローダーは、標的デバイス上のセキュリティ監視を無効化するために設計された悪意のあるPowerShellコマンドが明らかになった、悪用の試みが失敗した後に発見されました。
「4L4MD4Rペイロードの分析により、UPXでパックされ、GoLangで書かれていることが判明しました。実行時に、サンプルはメモリ内でAES暗号化されたペイロードを復号し、復号されたPEファイルをロードするためにメモリを割り当て、新しいスレッドを作成してそれを実行します」とUnit 42は述べています。
4L4MD4Rランサムウェアは、侵害されたシステム上のファイルを暗号化し、0.005ビットコインの支払いを要求します。また、感染したシステム上に身代金メモと暗号化されたファイルのリストを生成します。
MicrosoftとGoogleもToolShell攻撃が中国の脅威アクターに関連しているとしています。Microsoftのセキュリティ研究者は、Linen Typhoon、Violet Typhoon、Storm-2603という3つの国家支援ハッキンググループを名指ししています。
これまでに、米国国家核安全保障局、教育省、フロリダ州歳入局、ロードアイランド州議会、欧州および中東の政府ネットワークなど、この継続中のキャンペーンで多数の著名な標的が侵害されています。
「Microsoftは、Linen TyphoonおよびViolet Typhoonという2つの中国国家アクターが、インターネットに公開されたSharePointサーバーを標的としてこれらの脆弱性を悪用していることを確認しました。また、Storm-2603として追跡されている別の中国拠点の脅威アクターもこれらの脆弱性を悪用していることを観測しています。他のアクターによる同様の悪用についても調査が継続中です」とMicrosoftは述べています。
オランダのサイバーセキュリティ企業Eye Securityは、CVE-2025-49706およびCVE-2025-49704を標的としたゼロデイ攻撃でのToolShellの悪用を最初に検出し、政府機関や多国籍企業を含む54の組織が侵害されていることを特定しました。Check Point Researchはその後、7月7日にさかのぼる悪用の兆候を明らかにし、北米および西ヨーロッパの政府、通信、テクノロジー組織が標的となっていることを報告しました。
Microsoftは、2025年7月のPatch Tuesdayアップデートでこの2つの脆弱性にパッチを適用し、完全にパッチが適用されたSharePointサーバーを侵害するために悪用されたゼロデイに対して、2つの新しいCVE ID(CVE-2025-53770およびCVE-2025-53771)を割り当てました。
Eye Securityの最高技術責任者(CTO)であるPiet Kerkhofs氏はBleepingComputerに対し、実際の影響範囲は当初の推定をはるかに超えており、同社のデータによると攻撃者は少なくとも148の組織のネットワークで少なくとも400台のサーバーにマルウェアを感染させており、その多くは長期間にわたり侵害されていると述べています。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、ToolShellエクスプロイトチェーンの一部であるCVE-2025-53770リモートコード実行脆弱性を悪用された脆弱性のカタログに追加し、連邦機関に24時間以内のシステム保護を命じました。
