Новопоявила се рансъмуер група започна да експлоатира ToolShell
Поредна киберпрестъпна група е почнала да да експлоатира веригата от уязвимости ToolShell, засягаща Microsoft SharePoint.
Компанията за киберсигурност Trend Micro са засекли голям брой опити за офанзива към ToolShell от група, разпространяваща рансъмуер опасността Warlock. Самият рансъмуер се появява по-рано това лято, като наподобява е основан за да се употребява дружно с експлойт за ToolShell.
„ Чрез експлоатиране на уязвимостите, засягащи сериализацията и автентикацията, атакуващата страна е съумяла бързо да придобие благоприятни условия за осъществяване на код по отдалечен път и повишение на привилегиите, да се придвижи бързо в периметъра и да конфигурира рансъмуер програмата в мащаб “, пишат Trend Micro.
Демонстрацията на незнаен дотогава способ за офанзива, експлоатиращ две новооткрити уязвимости в SharePoint (CVE-2025-53770 и CVE-2025-53771) бива показана през май по време на хакерското съревнование Pwn2Own. Атаката, станала известна, като ToolShell, разрешава компрометирането на систематична страница (Toolpane.aspx), употребена за настройване и ръководство на уебстраници. Скоро след разкриването на метода, започват и офанзивите. Междувременно Microsoft издават кръпка за ToolShell, която след това се оказва несполучлива. Още по това време, компанията свързва една от групите, експлоатиращи ToolShell с Китай. Нещо, против което от посолството на Пекин в Съединени американски щати публично стачкуваха.
Trend Micro показват, че Warlock стартират да популяризират услугите си в края на юни на страниците на известен хакерски конгрес. „ Ако желаете „ Ламборджини “, апелирам свържете се с мен “, гласи първичния анонс на Warlock в RAMP. „ За къс интервал от време, групата зад Warlock се развива от един дръзновен форумен анонс в бързо растяща рансъмуер опасност “, пишат Trend Micro. „ Постепенно те приготвят почвата за даже по-сложни акции. В това число, употребявайки SharePoint ToolShell уязвимостта, която и слага групата в светлините на прожектора “.
Веднъж осъществили достъп в мрежата, разпространяващите Warlock употребяват комплицирани техники за пост-експлоатация. Те им дават опцията за инсталирането на основната рансъмуер опасност и добиване на чувствителни данни. Първоначално, хакерите целят да покачат привилегиите си в мрежата посредством основаването на нов GPO (Group Policy Object) обект в домейна. Те задействат вградения „ посетител “ акаунт в Windows и трансформират паролата му. Впоследствие прибавят този акаунт към групата на админите, което им дава и съответните привилегии. Следва неусетно определяне на надзорен канал към сървърите на атакуващата страна.
Използвайки Windows Command Shell, атакуващата страна извършва разнообразни скриптови файлове и команди. Следват серия от дейности, целящи замаскиране на наличието им и отбягване на засичане от системите за сигурност. След като приключат с това, те стартират напредване в периметъра, подготвяйки се за идващите си стъпки.
Преди осъществяването на криптиращата стратегия, Warlock копират изпълнимия файл на рансъмуера в обществените папки на голям брой крайни точки. За задачата употребяват инструмента за трансфер Ingres, показва отчета. Следва и осъществяването на самата опасност, която преди този момент стопира няколко законни развой и услуги за елиминиране на опцията за възобновяване и нанасяне на по-големи вреди. В края на процеса, слага и текстовия файл с настояването за откуп.
Пълният текст на отчета на Trend Micro може да намерите тук.
