中国系 ハッカーがMicrosoft SharePoint の ToolShell の脆弱性を悪用しサイバー攻撃 (CVE-2025-53770)

セキュリティニュース

投稿日時: 更新日時:

中国系 ハッカーがMicrosoft SharePoint の ToolShell の脆弱性を悪用 (CVE-2025-53770)

2025年10月22日のシマンテックのレポートによると中国拠点とみられる攻撃者が、2025年7月に公開・修正されたToolShell(CVE-2025-53770)の脆弱性を突き、中東の通信事業者のネットワークに侵入しました。同時期にアフリカの政府機関2部門も侵害され、いずれの環境でもZingdoorが展開されています。さらに、南米の政府機関2組織米国の大学でも関連する不正活動が観測され、こちらでは別の初期侵入手口(SQLサーバやApache HTTP Server上のAdobe ColdFusion)が利用されました。

Microsoft SharePointの脆弱性の概要

2025年7月19日、MicrosoftはSharePoint Serverのゼロデイ脆弱性「CVE-2025-53770」および関連する「CVE-2025-53771」への対応として、オンプレミス環境に向けた緊急セキュリティガイドを発表しました。この脆弱性はゼロデイ攻撃としてすでに世界中で活発に悪用されており、対象となる組織は即時の対応が求められていました。

攻撃の全体像

侵害は2025年7月21日に始まり、ToolShell修正公開のわずか2日後に攻撃者がWebシェルを設置した痕跡が確認されています。

続いて、正規バイナリの読み込み順を悪用するDLLサイドローディングZingdoorShadowPadが投入され、7月25日には初期段階マルウェアKrustyLoaderが投下されました。以降、資格情報の奪取や横展開を狙う活動が継続しています。

確認済みの侵害は、中東の通信事業者アフリカの政府機関2部門南米の政府機関2機関米国の大学。このほか、アフリカの国家技術機関中東の政府部門欧州の金融会社でも侵害の示唆が得られています。被害選好とツールはGlowworm過去活動と一部重なるものの、単独グループへの特定には至らず、

総じて中国拠点のスパイ活動の様相が強いと分析されています。

侵害原因

最大の要因は、修正公開直後のパッチ未適用とインターネット露出です。

SharePoint等の中核系が外部到達可能な状態で運用され、サイドローディングLOLBASに対するふるまい検知が弱いと、侵入後の滞在・権限奪取・横展開が短時間で成立します。併せて、ColdFusionSQLサーバといった周辺サービスの既知欠陥も足掛かりとなりました。

ハンティングと検知(TTP・IOC)

特徴的なTTP

  • 正規ベンダEXE(Trend Micro/BitDefender/BugSplat “mantec.exe”)+悪性DLLのサイドローディング連携

  • certutil/ProcDump/PowerSploit Minidump等のLOLBAS濫用

  • Sliverビーコンの生成・横展開、RevSocksでのC2中継

  • PetitPotamによる認証リレー/権限昇格試行

ファイルハッシュ(抜粋・SHA256)

  • Zingdoor:071e662f...281427c6

  • ShadowPad(推定):db15923c...2c2bb40fa/ローダ:e6c216ce...15ac066e

  • KrustyLoader:929e3fdd...c87521600

  • Sliver:7be8e37b...7c754d40

  • LsassDumper:6240e394...c8620a356aecf805...3f95aa

  • ProcDump:5b165b01...8686ed61e4ea34a7...583b3bc

  • Minidump:7803ae7b...0ff037a1

  • RevSocks:dbdc1bee...3596c1b8、Socks Proxy:568561d2...255611a9

  • GoGo Scanner:28a85904...25ece9

  • PetitPotam Exploit:1f94ea00...93e452b

  • “mantec.exe”(正規BugSplat):7acf2167...f83a4b01bugsplatrc.dll6c48a510...b3f95aa

  • BitDefenderローダ(正規EXE):3fc4f3ff...be90134

通信先(サンプル)

  • http://kia-almotores.s3.amazonaws[.]com/sy1cyjt(KrustyLoader C2)

  • http://omnileadzdev.s3.amazonaws[.]com/PBfbN58lX(KrustyLoader C2)

※IOCは環境により変動します。ブロックと同時に、周辺の類似名S3オブジェクト同組織内の他ホストでの横展開有無も追跡してください。

出典

ToolShell Used to Compromise Telecoms Company in Middle East