Trend Microの研究者によると、Warlockランサムウェアの運営者はMicrosoft SharePointのToolShell脆弱性を広範囲に悪用し、世界中の被害者を標的にしています。
Warlockのアフィリエイトは、広く報告されているこの脆弱性を利用し、未修正の組織を高度なポストエクスプロイト手法の連鎖によって迅速かつ深く侵害しています。
「SharePointの認証およびデシリアライズの脆弱性を悪用することで、攻撃者は迅速にコード実行権限と権限昇格を獲得し、システム内を横断的に移動して、広範囲にわたるランサムウェア攻撃を実行できました」と研究者は指摘しています。
7月23日、Microsoftは、Storm-2603として追跡されている中国拠点のアクターが、侵害されたSharePointオンプレミスサーバーでWarlockランサムウェアを配布していると報告しました。これは、同社がSharePointの顧客に対し、ToolShellと呼ばれるエクスプロイトチェーンが積極的に標的にされていると警告した数日後のことでした。
Trend Microのレポート(8月20日付)では、ToolShellエクスプロイトが発生する数週間前から、Warlockがサイバー犯罪の世界で急速に存在感を示していたと指摘しています。
このグループは2025年6月初旬、ロシア語のRAMPフォーラムで公にデビューし、「ランボルギーニが欲しいなら、私に連絡してください」というキャッチフレーズでアフィリエイトを募集していました。
2025年半ばまでに、同グループの被害者リストは急速に拡大し、北米、ヨーロッパ、アジア、アフリカの組織が含まれるようになりました。リークサイトのデータによると、対象業種はテクノロジーから重要インフラまで多岐にわたります。
「短期間で、Warlockの背後にいる脅威アクターは、大胆なフォーラムでの告知から、急速に拡大するグローバルなランサムウェアの脅威へと進化しました。これにより、SharePoint ToolShell脆弱性を活用した、さらに高度なキャンペーンが展開され、グループが注目を集めることとなりました」と研究者は付け加えています。
Warlockは、2025年8月に英国の通信企業Colt Technology Servicesへの攻撃の犯行声明も出しています。
高度なポストエクスプロイト攻撃チェーン
Warlockのアフィリエイトは、一連の高度なポストエクスプロイト手法を用いて、ランサムウェアの展開とデータ流出を実現します。
ネットワークに侵入すると、攻撃者はまずドメイン内に新しいグループポリシーオブジェクト(GPO)を作成し、より高い権限を確立します。
攻撃者はWindowsマシンの組み込み「ゲスト」アカウントを有効化し、そのパスワードを変更してアクセスに利用できるようにします。さらに、「ゲスト」アカウントをローカルの「管理者」グループに追加し、管理者権限を付与します。
侵害された環境内には、ステルス性の高いコマンド&コントロール(C2)チャネルが設置されます。あるケースでは、検知を回避するために名前が変更されたCloudflareのバイナリが使用されていました。
Windowsコマンドシェルは、スクリプトファイルやバッチジョブの実行に利用されます。
Trend Microは、防御回避のための一連の手法を強調しており、ベンダーのプロセスやサービスの終了を試みる行為も含まれていました。
脅威アクターは、被害者環境内で広範な偵察活動も行い、横移動の計画を立てます。これには、ネットワーク構成や現在のユーザー・権限情報など、侵害されたシステムに関する包括的な情報収集が含まれます。
横移動を実現するために、Server Message Block(SMB)などのリモートサービスを利用し、ペイロードやツールを複数のマシン間でコピーします。これには、管理共有を介してリモートシステムのパブリックフォルダに悪意のある実行ファイルを転送するコマンドの使用が含まれます。
攻撃者はまた、HKLM\SYSTEM\CurrentControlSet\Control\Terminal Serverのfdenytsconnections値を0に設定することで、リモートデスクトッププロトコル(RDP)アクセスも有効化します。
Warlockランサムウェアの展開は、Ingress転送ツールを使って複数のエンドポイントのパブリックフォルダにランサムウェアのバイナリをコピーすることで実現されます。
ランサムウェアはファイルを暗号化し、影響を受けたディレクトリ内に「How to decrypt my data.txt」というタイトルの身代金要求メモを配置します。
また、ランサムウェアは複数の正規プロセスやサービスを強制終了し、システムの混乱を最大化し、復旧手段を排除します。
研究者は、WarlockがリークされたLockBit 3.0ビルダーのカスタマイズ版である可能性が高いと観察しています。
データ流出プロセスには、正規のオープンソースファイル同期ツールであるRCloneが使用されています。Trend Microが観測したあるケースでは、このファイルはTrendSecurity.exeと偽装され、目立たないディレクトリに配置されていました。
研究者は、組織に対しオンプレミスのSharePointサーバーを速やかに修正し、Warlockランサムウェアの脅威に対抗するため多層的な検知能力を導入するよう強く呼びかけています。
翻訳元: https://www.infosecurity-magazine.com/news/warlock-ransomware-sharepoint/