以下の内容はhttps://malware-log.hatenablog.com/entry/2025/07/22/000000_6より取得しました。

Disrupting active exploitation of on-premises SharePoint vulnerabilities

攻撃手法: ToolShell アプリ: SharePoint CVE-2025-53770 CVE-2025-53771 攻撃組織: APT27 / Emissary Panda / Linen Typhoon / Bronze Union / TG-3390 / ZipToken / ARCHERFISH / Iron Tiger 攻撃組織: APT31 / Violet Typhoon / Judgment Panda / RedBravo / Bronze Vinewood 攻撃組織: Storm-2603 Antimalware Scan Interface / AMSI

【訳】

オンプレミスのSharePointの脆弱性の悪用を阻止する


【図表】


図 1. ToolPane エンドポイントへの POST リクエスト

図 2. SharePoint の脆弱性を悪用してランサムウェアに誘導する Storm-2603 の攻撃チェーン
出典: https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/


【要約】

Microsoft は、オンプレミスの SharePoint に存在する重大な脆弱性(CVE-2025-53770 など)を悪用する中国系脅威グループ Storm-2603 などによる攻撃を確認し、緊急のパッチ適用と保護策を呼びかけています。脆弱性を通じて Webシェル(spinstall0.aspx)が展開され、Mimikatz や PsExec を用いた横展開ののち、Warlock ランサムウェアが配布されています。Microsoft は検出・緩和ルールや IOC を公開し、早急な対策を推奨しています。


【ブログ】

◆Disrupting active exploitation of on-premises SharePoint vulnerabilities (Microsoft, 2025/07/22)
[オンプレミスのSharePointの脆弱性の悪用を阻止する]
https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/


【関連まとめ記事】

全体まとめ
 ◆攻撃手法 (まとめ)

◆ToolShell (まとめ)
https://malware-log.hatenablog.com/entry/ToolShell



以上の内容はhttps://malware-log.hatenablog.com/entry/2025/07/22/000000_6より取得しました。
このページはhttp://font.textar.tv/のウェブフォントを使用してます
不具合報告/要望等はこちらへお願いします。
モバイルやる夫Viewer Ver0.14