마이크로소프트는 Storm-2603이라는 해킹 그룹이 SharePoint 플랫폼의 심각한 취약점을 악용해 Warlock 랜섬웨어를 배포하고 있다고 보고했습니다. SharePoint는 안전한 기업급 콘텐츠 관리 및 협업 플랫폼으로 설명되며, 여러 그룹이 이 취약점을 악용함에 따라 주목받고 있습니다. 마이크로소프트는 7월 19일, 온프레미스 SharePoint Server 고객을 겨냥한 공격이 활발히 진행되고 있으며, 특히 CVE-2025-49704, CVE-2025-49706과 이와 관련된 패치 우회 방법인 CVE-2025-53770 및 CVE-2025-53771의 취약점에 대해 인지하고 있다고 밝혔습니다.
7월 22일, 마이크로소프트의 위협 인텔리전스 팀은 두 개의 중국 국가 주도 행위자인 Linen Typhoon과 Violet Typhoon이 이러한 취약점을 악용하고 있다고 언급했습니다. 7월 23일의 업데이트에서는 또 다른 중국 기반 행위자인 Storm-2603이 랜섬웨어를 배포하는 데 관여하고 있다는 사실이 밝혀졌습니다. 마이크로소프트는 해킹 그룹을 출신 국가와 활동 유형에 따라 분류하며, Storm-2603은 중국 기반으로 추정되는 새롭게 확인된 그룹입니다. 마이크로소프트는 Storm-2603이 이전 랜섬웨어 배포와 연관이 있다고 밝혔지만, 현재의 목표는 불분명합니다.
이러한 취약점을 완화하기 위해 마이크로소프트는 고객에게 모든 온프레미스 SharePoint 배포에 대해 악성 코드 스캔 인터페이스(Antimalware Scan Interface, AMSI)와 마이크로소프트 디펜더 안티바이러스를 통합하고 활성화할 것을 권장합니다. 또한, SharePoint 서버의 ASP.NET 머신 키를 교체하고, 인터넷 정보 서비스(Internet Information Services, IIS)를 재시작하며, 인증되지 않은 공격을 방지하기 위해 마이크로소프트 디펜더 포 엔드포인트 또는 동등한 솔루션을 배포할 것을 권장합니다.
* 이 글은
tomshardware.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.