Microsoft SharePoint の脆弱性悪用が拡大:4L4MD4R ランサムウェアによる侵害を確認

Ransomware gangs join attacks targeting Microsoft SharePoint servers

2025/08/04 BleepingComputer — Microsoft SharePoint の脆弱性を狙う継続的な攻撃に、ランサムウェア・グループが加わった。この攻撃は、広範なエクスプロイト・キャンペーンの一環とされるものであり、世界中で少なくとも 148 の組織が被害を受けている。SharePoint に対するエクスプロイト・チェーン ToolShell に関連する複数のインシデントを分析する中で、Palo Alto Networks の Unit 42 に所属するセキュリティ研究者たちが確認したのは、オープンソースの Mauri870 コードに基づく 4L4MD4R ランサムウェアの亜種である。

7月27日に検出されたマルウェア・ローダーは、theinnovationfactory[.]it(145.239.97[.]206)から 4L4MD4R ランサムウェアをダウンロードして実行するものだ。 このローダーは、標的デバイスに対するセキュリティ監視を無効化する目的で作成された。悪意の PowerShell コマンドの存在を示しているが、それが明らかになったのは。エクスプロイト試行が失敗した後のことである。

Unit 42 は、「4L4MD4R ペイロードの解析により判明したのは、このランサムウェア が UPX でパックされ、Go 言語で記述されていることだ。その実行時において、AES 暗号化されたペイロードがメモリ上で復号され、復号された PE ファイルを実行するためのメモリ領域が確保され、新しいスレッドが作成される」と述べている。

この 4L4MD4R ランサムウェアは、侵害したシステム内のファイルを暗号化し、0.005 Bitcoin の支払いを要求する。また、感染システム上に身代金要求メッセージを残し、暗号化済みファイルの一覧を生成する機能も有する。

4L4MD4R decryption instructions
4L4MD4R decryption instructions (Unit 42)

Microsoft と Google が主張するのは、この ToolShell 攻撃と、中国に拠点を置く脅威アクターの関連付けである。Microsoft のセキュリティ研究者たちは、国家に支援される3つのハッカー集団である、Linen Typhoon/Violet Typhoon/Storm-2603 を特定している。

この進行中のキャンペーンによる影響は広範囲に及び、米国の NSA/教育省/フロリダ州歳入局/ロードアイランド州議会に加えて、欧州と中東の政府ネットワークなどの、複数の著名な組織が侵害を受けている。

Microsoft は、「中国に支援される Linen Typhoon/Violet Typhoon が、インターネットに接続された SharePoint サーバを標的とし、一連の脆弱性を悪用していることを確認している。また、Storm-2603 として追跡されている中国由来の攻撃者も、この脆弱性を悪用している。その他の攻撃者の関与についても調査を継続している」と述べている。

オランダのサイバー・セキュリティ企業 Eye Security は、このゼロデイ攻撃において CVE-2025-49706/CVE-2025-49704 を標的とする ToolShell エクスプロイトを発見し、政府機関や多国籍企業などの 54の組織が侵害されたことを明らかにている。その後の 7月7日以降において、Check Point Research は、北米および西欧の政府機関/通信事業者/テクノロジー企業を標的とする攻撃の兆候を報告した。

すでに Microsoft は、2025年7月の Patch Tuesday で、上記の2件の SharePoint 脆弱性を修正し、また、新たなゼロデイ脆弱性に対して CVE-2025-53770/CVE-2025-53771 を割り当てた。

Eye Security の CTO である Piet Kerkhofs は、「当初の予測をはるかに超える規模で、被害が広がっている。当社の分析によると、攻撃者は少なくとも 148 の組織に達し、合計で 400台以上のサーバにマルウェアが展開され、数多くのシステムが長期間にわたる侵害に直面している」と、 BleepingComputer に述べている。

米国 の CISA は、ToolShell エクスプロイト・チェーンの一部を構成する、リモートコード実行の脆弱性 CVE-2025-53770 を深刻な脅威と捉え、 連邦政府機関に対して 24時間以内にセキュリティ対策を講じるよう指示している。

Microsoft SharePoint の既知の脆弱性を狙う、継続的な攻撃が勢いを増しているようです。特に注目すべきは、ToolShell を用いるエクスプロイト・チェーンが使われ、4L4MD4R ランサムウェアの展開につながっている点です。よろしければ、Tool Shell で検索も、ご参照ください。