Группировка WarLock атаковала Colt через уязвимость в SharePoint CVE‑2025‑53770

Атака началась с эксплуатации уязвимости CVE‑2025‑53770, также известной как ToolShell zero-day, в публично доступном экземпляре SharePoint компании Colt. Уязвимость, представляющая собой переполнение буфера в модуле обработки файлового хранилища SharePoint_FileStorage.dll, позволяла выполнить произвольный код с привилегиями SYSTEM через специально сформированный HTTP-запрос.

Анализ цепи атаки показывает, что злоумышленники использовали единый вектор удаленного выполнения кода для получения первоначального доступа к внутренней сети Colt. После успешного проникновения был запущен процесс cmd.exe, который инициировал загрузку вредоносного нагрузчика с домена cnkjasdfgd.xyz через PowerShell. Уже имея права SYSTEM, атакующие провели enumeration контроллеров домена через LDAP и обнаружили слабые ACL в корневой Distributed File System.

Латеральное перемещение осуществлялось через RDP-туннели по SMB порту 445, что позволило скопировать исполняемый файл WarLock на более чем десять внутренних серверов. На каждом из них запускался PowerShell-скрипт, блокирующий файловые шары, изменяющий NTFS-права доступа и начинающий шифрование файлов с использованием 256-битного AES шифра.

Особенностью атаки стало совмещение шифрования с сбором конфиденциальных данных. Злоумышленники извлекли таблицы заработных плат, контракты, сетевые диаграммы и внутреннюю переписку, упаковав их в ZIP-архив для последующей загрузки на публичный файлообменник. При этом данные клиентов не пострадали, так как находились в отдельном VLAN без прямого доступа из компрометированной зоны.

Технический анализ показывает, что атака стала возможной из-за несвоевременного применения обновлений безопасности. Патч для уязвимости CVE‑2025‑53770 был выпущен в составе Service Pack 2 еще в июле, но серверы Colt не были обновлены к моменту атаки. Это продолжает тенденцию эксплуатации известных, но неисправленных уязвимостей в продуктах Microsoft.

Группировка WarLock продемонстрировала высокий уровень изощренности, используя ToolShell.exe в качестве легитимного приложения (LOLBin), что позволило маскировать вредоносную активность под стандартные операции SharePoint. Это эффективно обходило проверки многих платформ Endpoint Detection and Response, которые полагаются на поведенческий анализ сетевой активности и происхождение процессов.

Дополнительным фактором успеха атаки стало избежание обнаружения системами SIEM. LDAP-enumeration, проведенная злоумышленниками, генерировала небольшое запросов, которые сливались с легитимным сетевым трафиком. Правила корреляции, предназначенные для обнаружения чрезмерных запросов к службам каталогов, были настроены с порогом в 500 запросов в день, что позволило операции оставаться незамеченной более 12 часов.

Сетевые средства защиты также показали недостаточную эффективность. Трафик SMB через порт 445, использовавшийся для латерального перемещения, оставался открытым для внутренних адресов. Межсетевые экраны не осуществляли сегментацию на уровне приложений, разрешая использование легитимного порта в качестве канала для распространения вредоносного ПО.

Эксперты по кибербезопасности отмечают, что в полностью сегментированной сетевой среде атакующие столкнулись бы с изолированной зоной и не смогли бы распространить воздействие. Отсутствие надлежащей сетевой сегментации становится обходным путем для многих операций с ransomware.

В качестве мер персистентности злоумышленники установили изменения в реестре, создав ключи в разделе HKLM\Software\Malware\Persistence\ и модифицировав планировщик заданий Windows для обеспечения выполнения кода при перезагрузке систем. Индикатором стало изменение ключа RegistryRunOnce, указывающего на выполнение PowerShell скрипта из системной директории.

Компания Colt Technology Services заявила, что инцидент не затронул клиентские данные и сервисы, а восстановление рабочих систем уже началось. Представители компании подтвердили, что уязвимость была устранена, а дополнительные меры безопасностиimplemented для предотвращения подобных инцидентов в будущем.

Этот случай подчеркивает критическую важность своевременного применения обновлений безопасности, особенно для публично доступных сервисов. Растущая изощренность групп типа WarLock, сочетающих эксплуатацию zero-day уязвимостей с продвинутыми техниками уклонения от обнаружения, требует комплексного подхода к безопасности, включающего не только традиционные средства защиты, но и строгую сетевую сегментацию и поведенческий анализ.

Domains

• *.cnkjasdfgd.xyz
• cnkjasdfgd.xyz