Tutorials Brawte nfaq 0 Comments

CISAがSharePoint Server攻撃のマルウェア分析を公開

Table of Contents

CISAがSharePoint Server攻撃のマルウェア分析を公開

CISA は、特定の Microsoft SharePoint Server バージョンを標的とした「ToolShell」攻撃に関する侵害指標と Sigma ルールを含むマルウェア分析レポートを公開しました。

エネルギー省

進行中の攻撃で Microsoft SharePoint の被害者組織数が 400 組織以上に到達

続きを読む

「サイバー脅威の攻撃者は、CVE-2025-49704とCVE-2025-49706(一般に「ToolShell」として知られるエクスプロイトチェーン)を連鎖させ、オンプレミスのSharePointサーバーへの不正アクセスを獲得した」と、同機関は報告書の発表の中で説明した。

CISAは、2つのダイナミックリンクライブラリ(.DLL)ファイル、1つの暗号鍵スティーラー、そして3つのウェブシェルを含む6つのファイルを分析しました。サイバー脅威アクターは、このマルウェアを利用して暗号鍵を盗み出し、Base64でエンコードされたPowerShellコマンドを実行してホストシステムの指紋を取得し、データを盗み出す可能性があります。

SharePoint Server の重要な脆弱性は、CVSS スコア 9.8 で「重大」と評価された CVE-2025-53770 であり、以前の「中」の深刻度 CVE-2025-49706 を基盤としています。この脆弱性は、Microsoft が先月パッチを当てたと考えていたものですが、後に、有名企業を狙ったゼロデイ攻撃として実際に悪用されていることが判明しました。

この脆弱性は、「Toolshell」と呼ばれるエクスプロイトチェーン内の他の脆弱性と関連しており、信頼できないデータのデシリアライゼーションを通じてリモートコード実行が可能になる。また、Linen Typhoon(別名Emissary Panda、APT27)、Violet Typhoon(別名Zirconium、Judgment Panda、APT31)、Storm-2603などのグループによって悪用されたことが知られている。

7月23日時点で、被害者の数は400人以上に上り、その中には米国エネルギー省(DOE)も含まれている。DOEはThe Registerに対し、同省の国家核安全保障局(NNSA)がこの脆弱性を利用して侵入されたことを認めたが、「影響は最小限」であると主張している。

攻撃のタイミングから、少なくとも 1 人のセキュリティ研究者は、この脆弱性は 5 月に Pwn2Own エクスプロイト コンテストの一環として非公開で公開された後に漏洩したと結論付けました。「どこかで漏洩が起こりました」と、トレンドマイクロの Zero Day Initiative の脅威認識責任者であるダスティン チャイルズ氏は先月末に私たちに語りました。

SharePoint のセキュリティに関するあらゆる陰謀に巻き込まれたのではないかと心配している人にとって、CISA のマルウェア分析レポートは、ある程度の安心感を与えてくれるでしょう。

CVE-2025-53770 に加えて、レポートでは、「ToolShell」エクスプロイトを形成するために使用される他の 3 つの関連する SharePoint の脆弱性と、「SharpyShell」と呼ばれる「新しいステルス Web シェル」についても取り上げています。SharpyShell は、単純な GET リクエストを通じて暗号化された秘密を抽出して盗み出します。そして最も重要なのは、侵害の兆候と、検出およびログ システムで使用するためのベンダー間のオープン ソース標準である Sigma 形式の検出ルール セットが付属していることです。

  • マイクロソフト:SharePoint攻撃にランサムウェア感染が正式に含まれるようになった
  • マイクロソフトにまたしても大規模なセキュリティ問題が発生、しかしそれが長続きするとは期待できない
  • 中国は、米国のスパイがMicrosoft Exchangeのゼロデイ脆弱性を悪用して軍事情報を盗んだと主張
  • 英国、マイクロソフトの新たなスヌーピングマルウェアを発見、GRUのサイバースパイを非難・制裁

これらのルールにより、ユーザーはログを分析して、CVE-2025-49704、CWE-94: コード インジェクション、CVE-2025-49706、CWE-287: 不適切な認証、CVE-2025-53770、CWE-502: 信頼されたデータのデシリアライゼーション、および CVE-2025-53771、CWE-287: 不適切な認証という 4 つの既知の脆弱性のいずれかによる悪用の証拠を探すことができます。

ただし、実装を検討している場合は、展開前にテストすることをお勧めします。

「EDR/SIEM [エンドポイント検出および対応/セキュリティ情報およびイベント管理] インスタンスに、これらの AND/OR 条件ベースのクエリを実行するのに十分なメモリがあることを確認してください」と CISA は警告しています。「[従来の Sigma ルール クエリよりも実行に時間がかかる可能性があります。」

侵害の兆候とシグマ ルールを含む完全なレポートは、CISA Web サイトで入手できます。®

Tutorials

Smart Recommendations

Discover More