Temmuz 2025’te Warlock fidye yazılımıyla ilişkili tehdit aktörlerinin Microsoft SharePoint’teki kritik bir sıfır gün güvenlik açığından yararlanmaya başlamasıyla siber güvenlik ortamında önemli bir değişim yaşandı.
19 Temmuz 2025’te keşfedilen ve CVE-2025-53770 olarak takip edilen ToolShell güvenlik açığı, kötü şöhretli Warlock fidye yazılımının dünya çapında birden fazla kuruluşa dağıtılmasında birincil vektör haline geldi.
Bu istismar, tehdit ortamında kayda değer bir artışa işaret etti ve bilinen istismar tekniklerini yeni ortaya çıkan kötü amaçlı yazılım taktikleriyle birleştiren karmaşık bir saldırı metodolojisini ortaya çıkardı.
Warlock’un ortaya çıkışı Haziran 2025’e kadar uzanıyor, ancak ilk önemi ToolShell sıfır gün saldırıları başlayana kadar sınırlı kaldı.
Fidye yazılımı, geleneksel Rus merkezli fidye yazılımı ekosisteminden ayrılan Çin merkezli operasyonel çerçevesiyle kendisini farklılaştırıyor.
Yerelleştirilmiş bir tehdit olarak başlayan şey, hızla Orta Doğu’daki mühendislik firmalarından ABD’deki finans kurumlarına kadar farklı sektörlerdeki kuruluşları hedef alan koordineli bir saldırı kampanyasına dönüştü.
Symantec analistleri ve Carbon Black araştırmacıları, Warlock’un konuşlandırılmasının arkasında karmaşık bir operasyonel yapı olduğunu tespit etti.
Soruşturma, Microsoft tehdit istihbarat ekipleri tarafından Storm-2603 olarak bilinen tehdit grubunun, Warlock’u LockBit 3.0 da dahil olmak üzere çok sayıda fidye yazılımı yükünün yanı sıra konuşlandırdığını ortaya çıkardı.
Bu çok dilli yaklaşım operasyonel esneklik gösterdi ve daha geniş bir siber saldırı yetenekleri cephaneliği önerdi.
Enfeksiyon Mekanizmasını ve Kalıcılık Taktiklerini Anlamak
Warlock oyuncularının kullandığı enfeksiyon mekanizması, önemli ölçüde teknik karmaşıklık sergiliyor.
Saldırganlar, 7z.dll adlı kötü amaçlı bir veri yüklemek için meşru 7-Zip uygulamasından (7z.exe) yararlanarak birincil yürütme yöntemi olarak DLL yan yüklemesini kullandı.
Çinli tehdit aktörleri tarafından yaygın olarak benimsenen bu teknik, kötü amaçlı kodları meşru uygulama süreçlerinde gizleyerek geleneksel güvenlik tespitlerini atladı.
Çalıştırıldıktan sonra Warlock, şifrelenmiş dosyalar için .x2anylock uzantısını kullanarak agresif dosya şifrelemesi uyguladı.
Güvenlik araştırmacıları Warlock’un, LockBit 3.0 kaynak kodundan türetilen değişiklikleri içermesine rağmen eski Anylock yükünün yeniden markalanmış hali gibi göründüğünü gözlemledi.
Fidye yazılımı, ak47c2 olarak adlandırılan özel bir komuta ve kontrol çerçevesi kurarak saldırganların virüslü sistemlerle kalıcı iletişim kanallarını sürdürmesine olanak sağladı.
Ayrıca tehdit aktörleri, güvenlik yazılımını devre dışı bırakmak ve sistem hakimiyeti kurmak için Coolschool’dan çalınan bir sertifikayla imzalanmış özel savunma kaçırma araçlarını kullanarak Kendi Savunmasız Sürücünüzü Getirin (BYOVD) tekniklerini kullandı.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
