Киберпреступники GOLD SALEM совершенствуют методы атак с помощью инструмента Velociraptor для развертывания Warlock

Исследовательская группа Sophos Counter Threat Unit (CTU) опубликовала углубленный анализ тактики, техник и процедур (TTP) киберпреступной группы GOLD SALEM, связанной с распространением программ-вымогателей Warlock. В отчете, охватывающем период в шесть месяцев и 11 инцидентов, подробно описана эволюция методов злоумышленников, включая необычное использование легитимного инструмента для цифровой криминалистики и реагирования на инциденты (DFIR) Velociraptor.

Описание

Активность группы, отслеживаемой Microsoft как Storm-2603, была впервые зафиксирована весной 2025 года. Однако известность она приобрела в июле после эксплуатации цепочки уязвимостей нулевого дня (известных как ToolShell) в локальных экземплярах SharePoint для получения доступа к корпоративным сетям. С августа исследователи Sophos начали обнаруживать использование инструмента Velociraptor в качестве предшественника развертывания вредоносного ПО (ransomware). Этот открытый инструмент, загружаемый с контролируемой злоумышленниками инфраструктуры, применялся для выполнения команд, создания туннелей и развертывания других утилит, таких как Visual Studio Code (VS Code) в режиме туннеля и туннелирующий инструмент Cloudflared.

Начальное проникновение в большинстве случаев осталось неустановленным, однако в четырех инцидентах были использованы уязвимости SharePoint. Для обеспечения устойчивого доступа (persistence) группа создавала административные учетные записи с предсказуемыми паролями, например, "backupadmin abcd1234". С целью получения учетных данных применялись как собственные средства Windows, так и инструменты вроде Mimikatz и дампера паролей Veeam.

Важным аспектом анализа стало выявление серверов промежуточного хранения инструментов (tool staging), размещенных на поддоменах "workers[.]dev". С этих серверов загружались Velociraptor, VS Code, Cloudflared, а также утилиты для удаленного доступа, такие как Radmin Server и OpenSSH. В начале сентября группа сменила домен для хранения инструментов, что может указывать на адаптацию после публикации первых данных об их методах.

Для обхода систем защиты злоумышленники использовали специальные утилиты для остановки агентов антивируса (AV) и систем обнаружения и реагирования на конечных точках (EDR), такие как "vmtools.exe". Кроме того, в атаках по схеме "принеси свою уязвимую драйвер" (BYOVD) применялись драйверы "rsndspot.sys" и "kl.sys", подписанные китайской компанией Beijing Rising. Эти же драйверы ранее фигурировали в кампании кибершпионажа Crimson Palace.

Группа GOLD SALEM использовала в атаках несколько семейств программ-вымогателей: Warlock, LockBit 3.0 и Babuk. Исследователи отмечают, что Warlock, вероятно, основан на утекшем билдере LockBit 3.0. Он обычно добавляет к зашифрованным файлам расширение ".x2anylock". В ходе анализа была обнаружена связь между участниками GOLD SALEM и экосистемой LockBit как услуги (RaaS). Контактные данные в записках о выкупе перекликаются с информацией, найденной на панели управления LockBit, которая была скомпрометирована в мае 2025 года.

Жертвами атак становились организации из различных секторов по всему миру, включая правительственные структуры, энергетику, промышленность и IT. При этом 64% жертв Warlock приходится на IT, промышленный и технологический сектора, что выше среднего показателя по другим группам вымогателей. Некоторые цели, такие как телекоммуникационные компании и исследовательские организации в сфере ядерной энергетики, традиционно интересны для групп государственного кибершпионажа. Однако исследователи Sophos оценивают GOLD SALEM как финансово мотивированную киберпреступную группу, не обнаруживая доказательств правительственного руководства или интереса к шпионажу.

Атрибуция группы остается сложной задачей. Исследователи с низкой степенью уверенности предполагают, что в состав GOLD SALEM входят китайские индивиды. На это указывает использование TTP, характерных для китайских групп, готовность атаковать цели в России и Тайване, а также эксплуатация уязвимостей SharePoint, которая пересекается с активностью китайских государственных групп Violet Typhoon и Linen Typhoon.

Эксперты Sophos приходят к выводу, что GOLD SALEM демонстрирует высокий технический уровень, используя как уязвимости нулевого дня, так и легитимные инструменты, такие как Velociraptor, новыми способами. Организациям рекомендуется минимизировать воздействие серверов SharePoint в интернете, своевременно применять обновления безопасности, а также широко развертывать современные решения AV и EDR, которые показали эффективность в обнаружении активности этой группы на ранних стадиях атаки.