Microsoft SharePointの脆弱性ToolShellを狙う攻撃にランサムウェアグループも参入

Microsoft SharePointの脆弱性ToolShellを狙う攻撃にランサムウェアグループも参入

BleepingComputer – August 4, 2025

Microsoft SharePointのエクスプロイトチェーン「ToolShell」を悪用する進行中の攻撃に、ランサムウェアグループも参加し始めている模様。Palo Alto NetworksのUnit42が、ToolShellの悪用を伴うインシデントの分析中に4L4MD4Rランサムウェアを発見したことについて報告した。

ToolShellは、SharePoint Enterprise Server 2016、SharePoint Server 2019、SharePoint Serverサブスクリプション エディションにおけるRCEの脆弱性CVE-2025-49704およびその亜種CVE-2025-53770と、スプーフィングの脆弱性CVE-2025-49706およびその亜種CVE-2025-53771を悪用するエクスプロイトチェーン。いずれに対するパッチもすでにリリースされているものの、それ以前の7月7日には悪用が始まっていたものとみられている。

そんな中、Unit 42は7月27日、上記脆弱性の悪用に関する調査中に、ランサムウェアのダウンロード・実行を担うマルウェアローダーの検出を経て、オープンソースのランサムウェアMauri870の亜種である4L4MD4Rランサムウェアを発見。4L4MD4Rのペイロードを分析したところ、これがUPXでパックされており、Go言語で書かれたものであることが明らかになったという。4L4MD4Rは侵害したシステム上のファイルを暗号化し、ランサムノートと暗号化されたファイルの一覧を生成する性能を持つ。ランサムノートには、0.005ビットコインの身代金を要求する旨と、送金先ウォレットのアドレス、連絡用のメールアドレスなどが記されている。

ToolShellを用いた攻撃については、以前よりマイクロソフトにより中国のアクターとされるLinen Typhoon、Violet Typhoon、およびStorm-2603の関与が報告されていたが、今回のUnit 42の発見でランサムウェアグループもこの悪用活動に参加し始めていることが明らかになった。なお、これまでに被害が報じられている組織には、米国エネルギー省国家核安全保障庁、米教育省、フロリダ州歳入局、ロードアイランド州議会のほか、ヨーロッパや中東の政府ネットワークが含まれる。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

ランサムウェアレポート：『2024 Ransomware? What Ransomware?』

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』