Chinese Hackers Using ToolShell Vulnerability To Compromise Networks Of Government Agencies
2025/10/22 CyberSecurityNews — Microsoft SharePoint サーバの深刻な脆弱性を悪用する中国拠点の脅威アクターが、世界中のネットワークに侵入している。このスパイ活動とみられる攻撃キャンペーンは、政府機関や重要インフラを標的としている。ToolShell として識別される脆弱性 CVE-2025-53770 は、未認証のリモート・コード実行を可能にするものであり、2025年7月に情報が公開されて以来、Microsoft による迅速な修正プログラムの適用に反して活発に悪用されている。
Symantec のセキュリティ研究者によると、パッチのリリース直後から CVE-2025-53770 への攻撃が開始され、その影響の範囲は中東/南米/アフリカなどの組織に及んでいる。
オンプレミスの SharePoint サーバ における、信頼されていないデータのデシリアライズに起因する ToolShell は、認証を必要としない任意のコード実行を許すものだ。
ベルリンで 2025年5月に開催された Pwn2Own イベントでは、それ以前の脆弱性 CVE-2025-49704/CVE-2025-49706 の悪用が実証されているが、この CVE-2025-53770 も同様の問題であるという。
ToolShell エクスプロイト・チェーンでは、認証バイパスの脆弱性 CVE-2025-53771 を伴うことが多い。具体的に言うと、ToolPane.aspx エンドポイントへの細工された POST リクエストにより、サーバからのアクセス許可を得た後に、コード実行のための悪意のペイロードが挿入される。
このパッチが適用された直後の 2025年7月21日に Microsoft が認めたのは、少なくとも3つの中国由来のグループである、Budworm (Linen Typhoon)/Sheathminer (Violet Typhoon)/Storm-2603 によるエクスプロイトが発生していたことだ。
これらの攻撃者は ToolShell をゼロデイ攻撃に利用し、ファイル・システムを侵害して永続的なアクセスを可能にしていた。
標的と攻撃パターン
この攻撃キャンペーンの影響は広範に及び、米国の大学/欧州の金融会社/中東の政府機関と通信会社/南米の政府機関/アフリカの政府機関と国営機関などで侵入が確認されている。
中東での最初のアクセスは 2025年7月21日に Web シェルの展開を介して行われ、その後に DLL サイドローディングが実行されたが、そこで悪用されたのは Trend Micro と Bitdefender の正規バイナリだった。
南米の事例では、Adobe ColdFusion に接続する SQL Server/Apache HTTP Server が悪用され、Symantec のツールを装う “mantec.exe” により悪意の DLL がサイドローディングされた。
これらの攻撃は脆弱なサーバを大規模にスキャンし、重要度の高いターゲットを厳選して追跡することで、認証情報の窃取とラテラル・ムーブメントの標的にしていたことが判明した。
攻撃者は、Go ベースの HTTP バックドアである Zingdoor を展開した。それらは Glowworm グループ (別名 Earth Estries/FamousSparrow) に関連するものである。このマルウェアは、2023年に発生した政府機関やテクノロジー・セクターに対するスパイ活動で初めて利用されたものだと記録されている。
その一方で、Blackfly などの APT41 関連グループのモジュール型 RAT である ShadowPad も、DLL サイドローディングを介して使用されていた。
中国由来の脅威アクター UNC5221 に関連付けられる Rust で書かれたローダー KrustyLoader により、レッドチーム用の C2 フレームワークである Sliver などが、第2段階のペイロードとして配信されていた。
この Living-off-the-land ツールに含まれるものには、ダウンロード用の Certutil/認証情報ダンプ用の Procdump と LsassDumper/偵察用の GoGo Scanner/プロキシ用の Revsocks/権限昇格用の PetitPotam エクスプロイト (CVE-2021-36942) などがある。
IoC
最近の活動が浮き彫りにするのは、当初の報告を超えて ToolShell が広く悪用されている状況である。したがって、オンプレミスの SharePoint インスタンスのバージョン確認と、緊急のパッチ適用が必要となっている。
全体で 400件を超える侵害が検出されている。これらの活動の分析結果として、Salt Typhoon 戦術との関連性が示されることから、持続性とステルス性を備えたネットワーク・アクセスを目的とする、国家に支援されるスパイ活動の存在が示唆されている。
| Type | Indicator | Description |
|---|---|---|
| SHA256 Hash | 6240e39475f04bfe55ab7cba8746bd08901d7678b1c7742334d56f2bc8620a35 | LsassDumper |
| SHA256 Hash | 929e3fdd3068057632b52ecdfd575ab389390c852b2f4e65dc32f20c87521600 | KrustyLoader |
| SHA256 Hash | db15923c814a4b00ddb79f9c72f8546a44302ac2c66c7cc89a144cb2c2bb40fa | Likely ShadowPad |
| SHA256 Hash | e6c216cec379f418179a3f6a79df54dcf6e6e269a3ce3479fd7e6d4a15ac066e | ShadowPad Loader |
| SHA256 Hash | 071e662fc5bc0e54bcfd49493467062570d0307dc46f0fb51a68239d281427c6 | Zingdoor |
| SHA256 Hash | 1f94ea00be79b1e4e8e0b7bbf2212f2373da1e13f92b4ca2e9e0ffc5f93e452b | PetitPotam/CVE-2021-36942 exploit |
| SHA256 Hash | dbdc1beeb5c72d7b505a9a6c31263fc900ea3330a59f08e574fd172f3596c1b8 | RevSocks |
| SHA256 Hash | 6aecf805f72c9f35dadda98177f11ca6a36e8e7e4348d72eaf1a80a899aa6566 | LsassDumper |
| SHA256 Hash | 568561d224ef29e5051233ab12d568242e95d911b08ce7f2c9bf2604255611a9 | Socks Proxy |
| SHA256 Hash | 28a859046a43fc8a7a7453075130dd649eb2d1dd0ebf0abae5d575438a25ece9 | GoGo Scanner |
| SHA256 Hash | 7be8e37bc61005599e4e6817eb2a3a4a5519fded76cb8bf11d7296787c754d40 | Sliver |
| SHA256 Hash | 5b165b01f9a1395cae79e0f85b7a1c10dc089340cf4e7be48813ac2f8686ed61 | ProcDump |
| SHA256 Hash | e4ea34a7c2b51982a6c42c6367119f34bec9aeb9a60937836540035583a5b3bc | ProcDump |
| SHA256 Hash | 7803ae7ba5d4e7d38e73745b3f321c2ca714f3141699d984322fa92e0ff037a1 | Minidump |
| SHA256 Hash | 7acf21677322ef2aa835b5836d3e4b8a6b78ae10aa29d6640885e933f83a4b01 | mantec.exe (Benign executable) |
| SHA256 Hash | 6c48a510642a1ba516dbc5effe3671524566b146e04d99ab7f4832f66b3f95aa | bugsplatrc.dll |
| URL | http://kia-almotores.s3.amazonaws%5B.%5Dcom/sy1cyjt | KrustyLoader C&C server |
| URL | http://omnileadzdev.s3.amazonaws%5B.%5Dcom/PBfbN58lX | KrustyLoader C&C server |
この記事で解説されているインシデントでは、SharePoint の未検証デシリアライズの脆弱性 CVE-2025-53770 を起点に、認証不要のリモートコードが実行されています。この攻撃者は、認証バイパスや細工した POST で権限を奪い、正規バイナリを悪用した DLL サイドローディングや Web シェルの展開により、永続化/横展開を引き起こしています。大規模スキャンで脆弱なオンプレミスを選別し、複数ツールを組み合わせて認証情報の窃取やラテラル・ムーブメントにいたる連鎖が確認されたと、この記事は指摘しています。よろしければ、CVE-2025-53770 で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.