Warlock Ransomware Group, şirket içi Microsoft SharePoint sunucularını hedefleyerek, uzaktan kod yürütme ve başlangıç ağ erişimini elde etmek için kritik güvenlik açıklarından yararlanarak işlemlerini yoğunlaştırdı.
2015’in ortalarında gözlemlenen bu kampanya, web mermilerini yüklemek, keşif, ayrıcalık yükseltme ve kimlik bilgisi hırsızlığı için hazırlanmış HTTP sonrası isteklerin gönderilmesini içerir.
İlk sömürü
Saldırganlar, modası geçmiş Veeam yedekleme yazılımında CVE-2023-27532 gibi kusurları kullanıyor ve yakın zamanda SharePoint firalizasyon sorunlarını açıklayarak, kimlik doğrulamasını atlamalarını ve kurumsal ortamlara pivotlarını atlamalarını sağlıyor.
Mağdurlar, hükümet, finans, imalat, teknoloji ve kritik altyapı gibi sektörlerle Kuzey Amerika, Avrupa, Asya ve Afrika da dahil olmak üzere birçok kıtayı büyük ölçüde etkiledi.
Warlock’un taktikleri, Black Basta gibi grupları yansıtan, olası bağlılıklar veya yeniden markalaşmalar öneriyor ve Haziran 2025’te forum reklamlarından sofistike küresel saldırılara hızlı bir evrim gösteriyor.
Grup politika nesnelerini ayrıcalık artışı için kötüye kullanarak, saldırganlar yeni GPO’lar oluşturur, konuk hesaplarını etkinleştirir ve bunları daha fazla uzlaşma için yüksek erişim sağlayarak yöneticiler gruplarına ekler.
İçeri girdikten sonra, Warlock operatörleri savunma kaçırma, keşif, kimlik bilgisi erişim ve eksfiltrasyonu içeren çok aşamalı bir saldırı zinciri kullanır.
Domain Trust numaralandırması için CMD.EXE ve NLTest gibi yerleşik Windows araçlarını, IPConfig ve Görev Listesi aracılığıyla sistem bilgileri toplama ve net grup komutları aracılığıyla hesap keşfi kullanırlar.
Saldırı zinciri
Mimikatz ile bellekten düz metin şifrelerini çıkarmak ve SAM ve güvenlik sicilini kovanlarını boşaltarak, genellikle CrackMapexec gibi araçlar aracılığıyla kimlik bilgisi boşaltma elde edilir.
Yanal hareket, vmtools.exe (trojan.win64.killav.i) gibi yeniden adlandırılan ikili dosyalar da dahil olmak üzere, googleapiutil64.sys adlı kötü niyetli bir sürücü yükleyerek ve log.txt dosyalarında listelenen hedefleri tekrar tekrar öldürerek olarak sona erdiren yükleri kopyalamak için SMB paylaşımları üzerinde gerçekleşir.
Fidye yazılımı dağıtım .x2anylock uzantısını şifrelenmiş dosyalara ekler, fidye notları düşürür ve Proton Drive hesaplarına trendsecurity.exe olarak gizlenmiş RCLone kullanarak verileri ekler.
Lockbit 3.0 türevi olan kötü amaçlı yazılım, operasyonel gizliliği korumak için beyaz liste uzantıları, dizinleri ve belirli sistem adlarını şifrelemekten kaçınır.
Önceki zincirlerde, saldırganlar, kötü niyetli yükler yüklemek için mpcmdrun.exe ve jcef_helper.exe gibi meşru yürütülebilir dosyalarla dll kenar yükünü kullandılar, kurtarmayı engellemek için writenull.exe üzerine diskler yüklediler.
Bu saldırı, gecikmeli yama risklerinin ve katmanlı savunma ihtiyacının altını çiziyor. Kuruluşlar derhal SharePoint güvenlik açıkları için Microsoft yamaları uygulamalı ve şüpheli GPO modifikasyonları, yetkisiz RDP etkinlikleri veya yeniden adlandırılan Cloudflare ikili olarak yeniden protokol tünelleme gibi göstergeleri izlemelidir.
Rapora göre, Trend Micro’nun Vision One platformu, tehdit avı sorguları, istihbarat güncellemeleri ve sömürü girişimlerini, süreç sonlandırmalarını ve eksfiltrasyonu engelleyen proaktif kurallar yoluyla Warlock IOC’lerin tespitini sağlar.
İdari hisse senetlerini kısıtlamanın ve Warlock gibi gelişen fidye yazılımı varyantlarına karşı koymak için güncel güvenlik imzalarının sürdürülmesinin yanı sıra, kimlik bilgisi boşaltma, yanal hareket ve anormal komut yürütmeleri için sürekli izleme esastır.
Uzlaşma Göstergeleri (IOCS)
| SHA-1 Hash | Tespit Adı |
|---|---|
| 0BBBF2A9D49152AC6AD755167CB0F2B4F00B976 | Ransom.win32.warlock.a.not |
| CF0DA7F6450F09C8958E253BD606B83AA80558F2 | Ransom.win32.warlock.a |
| 8b13118b378293b9dc891b57121113d0aea3ac8a | Ransom.win32.warlock.a |
| 0485509b4dbc16dcb6d5f531e3c8b9a59b69e522 | Trojan.win64.killav.i |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!