Группа программ-вымогателей Warlock значительно расширила свою цепочку атак, интегрировав ряд новых инструментов и техник, ориентированных на обеспечение постоянного доступа, эффективное боковое перемещение по сети и уклонение от средств обнаружения. Нацеленность злоумышленников охватывает отрасли технологий, производства и государственный сектор, причем основные жертвы находятся в США, Германии и России.
Ключевые инструменты и техники
- TightVNC — используется для обеспечения персистентного удалённого доступа: stealth-установка как служба Windows позволяет поддерживать канал доступа вне основных C&C-каналов.
- Yuze — open-source reverse proxy на C, повышающий способность обходить традиционные фильтры, позволяя коммуникации через порты HTTP, HTTPS и DNS.
- Bring Your Own Vulnerable Driver (BYOVD) и уязвимости в драйвере NSec — метод, позволяющий злоумышленникам эксплуатировать уязвимые драйверы для обхода защит на уровне ядра.
- Velociraptor — маскируемый под легитимное ПО инструмент для загрузки удалённых payload’ов, используемый и для эксфильтрации данных, и в качестве компонента C&C.
- Cobalt Strike — фреймворк для постэксплуатации: первоначальное подключение осуществляется через легитимный процесс w3wp.exe, после чего загружается вредоносный код, замаскированный под Microsoft-бинарь.
- Инструменты сбора учётных данных: Mimikatz, debug.exe, а также техники вроде DCSync для получения учётных данных из скомпрометированных доменов.
- Боковое перемещение и удалённое выполнение: PsExec и удалённое управление PowerShell; развёртывание TightVNC на других системах сети.
- Туннелирование и скрытые каналы: сочетание Velociraptor, туннелей VS Code и Cloudflare для смешивания злонамеренного трафика с легитимным.
- Специальный инструмент NSec-Killer — направлен на процессы security-продуктов на уровне ядра для снижения вероятности обнаружения.
Как выглядит цепочка атаки
Первичный доступ чаще всего достигается через эксплуатацию незащищённых, доступных из интернета серверов Microsoft SharePoint. После компрометации злоумышленники разворачивают Cobalt Strike: вредоносные компоненты первоначально подключаются через легитимный процесс w3wp.exe, что затрудняет их обнаружение традиционными средствами мониторинга.
Далее в сетях загружаются удалённые payload’ы — часто с помощью Velociraptor, замаскированного под легитимное ПО. Этот механизм облегчает как эксфильтрацию данных, так и поддержание каналов командования и контроля (C&C), в том числе через Yuze и туннели Cloudflare.
Доступ к учётным данным осуществляется через DCSync-атаки и инструменты вроде Mimikatz, что позволяет злоумышленникам быстро расширять привилегии и распространяться по домену. Боковое перемещение выполняется через PsExec и удалённый PowerShell, с последующей установкой TightVNC на дополнительные хосты.
Эксфильтрация и развёртывание вымогателя
Warlock демонстрируют возможность прямой эксфильтрации данных — например, копирование содержимого целевых общих папок напрямую в S3-бакет, контролируемый злоумышленниками. Финальная стадия атак — развёртывание программ-вымогателей через Group Policy в Active Directory, что обеспечивает автоматическую репликацию вредоносного ПО на всех системах домена. Основной полезный груз выполняет шифрование файлов, после чего жертвам оставляется записка о выкупе.
«Обновлённые тактики группы Warlock и разнообразный инструментарий демонстрируют сложный подход к атакам с использованием программ-вымогателей, подчеркивая необходимость для организаций укреплять свои defenses против этих развивающихся угроз.»
Уклонение от обнаружения
Warlock применяют многослойный подход к уклонению: от маскировки бинарей под Microsoft-процессы и использования легитимных сервисов и туннелей до активного нейтрализования security-процессов на уровне ядра с помощью NSec-Killer. Интеграция Yuze и комбинированное использование Cloudflare-туннелей позволяют смешивать злонамеренный трафик с легитимным, затрудняя его фильтрацию.
Рекомендации для организаций
С учётом обнаруженных техник и инструментов, организациям рекомендуется принять следующие меры защиты:
- Закрыть и своевременно патчить интернет-ориентированные сервисы, особенно Microsoft SharePoint.
- Мониторить аномальную активность в процессах w3wp.exe и других легитимных службах, отслеживать загрузку нестандартных модулей.
- Ограничить и контролировать использование удалённых админ-инструментов (PsExec, PowerShell, TightVNC), применять принцип наименьших привилегий.
- Внедрить защиту от кражи учётных данных и DCSync-атак: жёсткие политики паролей, MFA для админ-учёток, мониторинг запросов репликации.
- Отслеживать и блокировать нестандартные туннели и прокси (VS Code tunneling, Cloudflare tunnels, Yuze), анализировать трафик на нетипичные подключения к внешним S3-бакетам.
- Контролировать изменения в Group Policy и подозрительные развёртывания ПО через Active Directory.
- Обновлять и тестировать планы резервного копирования и восстановления, сегментировать сеть, чтобы ограничить скорость распространения шифровальщика.
Вывод
Действия Warlock демонстрируют быстрое развитие инструментария и тактик, направленных на повышение скрытности, масштабируемости атак и эффективности эксфильтрации данных. Их комбинированный подход — использование легитимных процессов, маскировка инструментов, BYOVD-методики и сложные каналы C&C — делает их серьёзной угрозой. Организациям необходимо оперативно укреплять свои defenses, фокусируясь на защите интернет-ориентированных сервисов, контроле привилегий и мониторинге нетипичных сетевых каналов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Warlock: вымогатели усилили персистентность, боковое перемещение и уклонение".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.