Группировка Warlock атакует через WSUS: от публикации PoC до шифрования за 48 часов

Эксплуатация началась практически мгновенно после публикации доказательства концепции (Proof-of-Concept, PoC). Уже через два часа после появления эксплойта в открытом доступе началось массовое сканирование интернета на наличие уязвимых серверов WSUS. Спустя несколько часов на скомпрометированные системы доставлялась первая вредоносная нагрузка (payload). Вся цепочка атаки, от разведки до шифрования, была выстроена с высокой степенью автоматизации и эффективности.

Первоначальное проникновение осуществлялось через уязвимость CVE-2025-59287, связанную с небезопасной десериализацией данных в .NET BinaryFormatter. Злоумышленники отправляли специально сформированные SOAP-запросы на серверы WSUS. При успешной эксплуатации в процесс w3wp.exe внедрялась вредоносная библиотека. Для скрытия своей активности группа часто очищала системные журналы, однако в ряде случаев в базе данных WSUS оставались следы, указывающие на ошибки десериализации.

После получения начального доступа атакующие разворачивали в инфраструктуре целый арсенал инструментов. Основным трояном для удалённого доступа (Remote Access Trojan, RAT) выступал WarlockRAT, написанный на .NET. Он использовался для повышения привилегий, создания туннелей и выполнения произвольных команд. Параллельно загружался легитимный инструмент для реагирования на инциденты Velociraptor, который злоумышленники применяли в злонамеренных целях для управления системами. Примечательно, что использовалась уязвимая версия 0.73.4, подверженная CVE-2025-6264, что позволяло повышать привилегии в системе.

Для закрепления в системе (persistence) WarlockRAT создавал скрытую учётную запись администратора и регистрировал новые службы Windows. Повышение привилегий осуществлялось как с помощью встроенных в троянец функций, основанных на технике EfsPotato, так и через манипуляции с групповыми политиками Active Directory. Для обхода защиты атакующие отключали антивирусные решения и брандмауэры, а также применяли атаку Skeleton Key против Kerberos.

На этапе разведки внутри сети (discovery) собиралась детальная информация об Active Directory, пользователях, группах и системах. Для этого использовались как встроенные команды, так и дополнительные утилиты, например, ADExplorer. Учётные данные извлекались путём дампа памяти процесса LSASS с помощью NetExec. Управление осуществлялось через несколько каналов, включая WarlockRAT, Velociraptor и агента Apollo для фреймворка Mythic.

Особого внимания заслуживают нестандартные методы туннелирования. Помимо стандартных утилит вроде Cloudflared, злоумышленники использовали wsocks и даже командную строку редактора VSCode (vscode-cli) для создания скрытых каналов связи через службы Microsoft Dev Tunnels. Это позволило им долгое время оставаться незамеченными. Горизонтальное перемещение по сети осуществлялось с помощью PsExec и NetExec, а также за счёт скомпрометированных учётных записей.

Финальной стадией атаки стало шифрование данных. Для систем VMware ESXi использовался вымогатель (ransomware) семейства Babuk, а для Windows-машин - собственный шифровальщик Warlock Cryptor. Этот инструмент, активно используемый группой с середины 2025 года, добавляет к зашифрованным файлам расширение .x2anylock и использует алгоритм ChaCha20. Шифрование часто запускалось централизованно через групповые политики, что приводило к практически мгновенной парализации всей инфраструктуры.

Данный случай наглядно демонстрирует, как современные APT-группировки (Advanced Persistent Threat) достигли высокой скорости реакции. Промежуток между публикацией уязвимости и её активной эксплуатацией сократился до часов. Эксперты Angara Security подчёркивают, что противодействие таким угрозам требует не просто установки патчей, а комплексного подхода. Необходим проактивный мониторинг, включающий корреляцию событий из различных источников, анализ цепочек запуска процессов от служб WSUS и IIS, а также готовность к обнаружению нестандартных техник, подобных использованию легитимных инструментов в злонамеренных целях. Без этих мер время на реакцию у специалистов по безопасности может оказаться катастрофически малым.

IPv4

• 134.209.107.209
• 162.252.199.85
• 168.231.117.229
• 93.127.214.58

Domains

• esx-enterprise.com
• filebin.net
• loglog.ac.d189493a.digimg.store
• royal-boat-bf05.qgtxtebl.workers.dev
• update.githubtestbak.workers.dev
• upload.jbowpxyy.workers.dev
• wsus.ac.d189493a.digimg.store

MD5

• 16fb41cf9a652913f1ff186243c48ec0
• 2661f8272ada236cf3aeb9ce9323626c
• 271dd648f947cd021b9c814acaa816f7
• 378c5585cd204e0ff6a28d5e59f5e686
• 3a55d8f8f29716c694671834d8c6cb29
• 3f44dd7f287da4a9a1be82e5178b7dc8
• 4ba756bff1a78f17ad477d818fe7e283
• 4dd544c3513d0606af052d33a183a8f2
• 5380758888db6538fd0ad75ffff59587
• 599a775770411c012b24e2f8e148d09e
• 683103721619b316534115bcc068c7fd
• 6ae09bb129d251980cd7b19292be78fb
• 7ca608465e3c860a43eaf133e53eb745
• 8e024a4c90f17f1aedc7fc53d5ca23c6
• 94a38eff715576ffab05d28c0c638d65
• 99188828b1b7770fdf55cf25442d4c03
• a9e390237a96e0c6655b1a06f8d72c6f
• c563056e9b3bea79262c49fe3974b92f
• cc5df445b75fd50ec4be4b4346c817c0
• d305ac1e09e8509345b1ca97dd3fe02c
• db89ec570e6281934a5c5fcf7f4c8967
• f44e811544362f20ab3c8b9212208aac
• fd91321bf7ff7245dda9b7b5d791ace8
• ffafbc75a9eca9e3d145d45970492a6f

SHA1

• 0098c79e1404b4399bf0e686d88dbf052269a302
• 098306e1a34022e0c3654c2839757c3f1abbe184
• 0d385213a4bb59e6e1b36667b48d924f33d24e90
• 0ff4d4dedf275669acab299bd2635a1425fa8dc2
• 1865aa09a523195b86d4c8a0554282db16a937d8
• 259b9ad407d8626fd18f956021f49314bcc3a880
• 363761519f0770596abf717bdec29997db10c260
• 44f3067c0ae0f5bb46b1c5455f881eb646fba782
• 56134d9fc68ff7ea70f4b14c9da8a5946d32bef1
• 69fa8dec978938629f1aecab9154603c4bfb55d7
• 6b242ad80260f3cb3e67a1d2a1ee164de465c76e
• 6c7f62679d84c7b365fbb666d6a09d3a526ae374
• 70d91b700189e2ee546a129cf6c13b77b9c9bce7
• 75787a3adc1063d750c3139f764a14d2920a30ab
• 85c05b9e848f33b715e1b0ae4c8d4b744f8ea1a0
• 9335ca254af61f9b9d52079cd387fca25d04f468
• 9354804225e2168ff3e971e672f1e112c8a84f07
• 98683c358724eda64bd5c1df5df6d2af8bcedd15
• 996fcf7b6c0a5ed217a46b013c067e0c1fe3eba9
• aa0b7d4d3e1638a9c622779d27b5ee9118352b6e
• b435db186106fbb053ce6d1d9178d642792e9723
• c55c826f626e6891e0b8cdd79d8f13b30ff78439
• c8f2dcec692b82afa1fe9bf286ead6585269b7ab
• d530931f9679f8ef6dce30e47dee5c94a990acf1