摘要：趋势科技研究人员称，Warlock 勒索软件团伙已广泛利用 Microsoft SharePoint ToolShell 漏洞来攻击全球受害者。

趋势科技研究人员称，Warlock 勒索软件团伙已广泛利用 Microsoft SharePoint ToolShell 漏洞来攻击全球受害者。

Warlock 的附属机构利用广泛报道的漏洞，通过一系列复杂的后利用技术，快速而深入地攻击未修补的组织。

研究人员指出：“通过利用 SharePoint 的身份验证和反序列化漏洞，攻击者能够快速获得代码执行和提升权限，在系统内横向移动，并大规模传播破坏性勒索软件。”

7月23日，微软报告称，一个被追踪为Storm-2603的威胁组织正在利用SharePoint本地服务器ToolShell漏洞传播Warlock勒索软件。

趋势科技8 月 20 日的报告指出，在 ToolShell 漏洞利用之前的几周内，Warlock 已迅速在网络犯罪领域站稳脚跟。

该组织于 2025 年 6 月初在俄语 RAMP 论坛上首次公开亮相，并用这样的标语向潜在的附属机构宣传自己：“如果你想要一辆兰博基尼，请联系我。”

根据泄密网站数据，到 2025 年中期，该组织的受害者名单迅速增长，涵盖北美、欧洲、亚洲和非洲的组织，影响到从技术到关键基础设施等各个行业。

研究人员补充道：“在短时间内，Warlock 背后的威胁组织从一个大胆的论坛公告演变为一个迅速增长的全球勒索软件威胁，为更复杂的攻击活动奠定了基础——包括利用 SharePoint ToolShell 漏洞的活动。”

Warlock 勒索软件的附属机构使用一系列复杂的后利用技术，导致勒索软件部署和数据泄露。

进入网络后，攻击者首先通过在域内创建新的组策略对象 (GPO) 来建立更高的权限。攻击者激活Windows计算机上内置的“guest”帐户并修改其密码，使其能够用于访问。然后，攻击者将“guest”帐户添加到本地“管理员”组，并授予其管理权限。

在受感染的环境内建立了一个隐秘的命令和控制 (C2) 通道，在一个案例中，使用已重命名的 Cloudflare 二进制文件来逃避检测。

Windows 命令 Shell 用于执行脚本文件和批处理作业。入侵者采用一系列防御规避技术，包括尝试终止供应商的流程和服务。

攻击者还会在受害者环境中进行广泛的侦察，以规划横向移动。这包括收集受感染系统的全面信息，包括网络配置以及确定当前用户和权限上下文。

为了实现横向移动，攻击者会使用服务器消息块 (SMB) 等远程服务在机器之间复制有效载荷和工具。这涉及使用命令通过管理共享将恶意可执行文件传输到远程系统的公共文件夹。

攻击者还通过将 HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server 处的 fdenytsconnections 值设置为 0 来启用远程桌面协议 (RDP) 访问。

通过使用 Ingress 传输工具将勒索软件二进制文件复制到多个端点上的公共文件夹中，可以实现 Warlock 勒索软件的部署。

然后，勒索软件会加密文件，然后在受影响的目录中放置一张标题为“如何解密我的 data.txt”的勒索信。

勒索软件还强制终止多个合法进程和服务，以最大限度地破坏系统并消除潜在的恢复机制。

研究人员发现，Warlock 似乎是泄露的 LockBit 3.0 构建器的定制衍生品。

数据泄露过程使用合法的开源文件同步工具 RClone 进行。趋势科技观察到的一个案例中，该文件被伪装成 TrendSecurity.exe，并放置在一个不显眼的目录中，以逃避检测。

研究人员敦促各组织及时修补其内部部署 SharePoint 服务器，并部署分层检测功能以防御 Warlock 勒索软件威胁。

技术报告：

来源：会杀毒的单反狗