グローバルハッキングキャンペーンは、マイクロソフトのオンプレミスSharePointソフトウェアの重要なゼロデイ欠陥(CVE-2025-53770)を活用しており、攻撃がスパイからランサムウェアにエスカレートしています。 7月7日頃に最初に検出されたこの違反は、。
攻撃者は暗号化サーバーキーを盗み、持続的な制御を獲得します。 Microsoftは7月21日に緊急パッチをリリースし、顧客にすぐに更新するよう促しています。 a 公開された公開、広範囲にわたる攻撃の脅威は、未収系に対する自動化された攻撃の脅威が急速に増加しています。
MicrosoftとGoogleのMandiantは、最初の攻撃は複数の中国の州が後援する脅威関係者に起因しています。詳細なレポートでは、Microsoft サーバーの暗号化機械keys に描きます。この方法は、はるかに持続的で危険なアクセスの形式を提供します。 Eye Securityの研究チームが警告しているように、「これらのキーにより、サーバーがパッチをとった後でも、攻撃者はユーザーやサービスになりすまします。したがって、パッチを適用しても問題は解決しません。」
これにより、修復が複雑で2段階のプロセスになります。単に新しいパッチを適用するだけでは、すでにサーバーに違反している攻撃者を追い出すのに十分ではありません。組織はまた、盗まれた資格情報を無効にするためにASP.NETマシンキーを回転させる必要があります。良い。しかし、状況はより破壊的なターンを迎えました。 Microsoftは7月23日に、Storm-2603グループが現在。代理店は、すべての連邦政府の民間機関にマイクロソフトのパッチと修復手順を適用するよう命じる拘束力のある指令を発行しました。国土安全保障省の違反と