Warlock: группа программ-вымогателей обновила арсенал и скрывает атаки через легитимный софт

Эволюция инструментария Warlock демонстрирует осознанный переход к максимальной скрытности и отказоустойчивости. Если ранее группа в значительной степени полагалась на эксплуатацию уязвимостей в публично доступных серверах Microsoft SharePoint для первоначального доступа, а для управления использовала фреймворк Velociraptor и туннели Cloudflare, то теперь её арсенал стал гораздо шире. Ключевыми нововведениями стали инструменты TightVNC для скрытого удалённого доступа, лёгкий туннелирующий инструмент Yuze для организации каналов связи через стандартные порты, а также новая техника BYOVD (Bring Your Own Vulnerable Driver), направленная на отключение защитного ПО. Эта техника подразумевает использование злоумышленниками собственного уязвимого драйвера для компрометации системы на уровне ядра. В данном случае эксплуатировалась уязвимость в драйвере NSecKrnl.sys.

Описанный инцидент, детально исследованный в начале 2026 года, показал, что операторы проводят внутри сети жертвы до 15 дней перед тем, как запустить шифрование. Это время уходит на тщательное изучение среды, повышение привилегий и отключение систем безопасности. После получения первоначального доступа через уязвимый SharePoint, злоумышленники развернули веб-оболочку и использовали инструменты вроде Mimikatz для кражи учётных данных. Особенно опасной оказалась проведённая ими атака DCSync, которая позволяет, имитируя контроллер домена, выгружать хэши паролей всех пользователей. Получив полный контроль над доменом, включая сброс пароля встроенной учётной записи администратора, злоумышленники получили возможность беспрепятственно перемещаться по сети.

Для скрытного перемещения и контроля использовался целый набор легитимных инструментов. PsExec применялся для удалённого выполнения команд и установки TightVNC в качестве службы Windows, что давало графический доступ к системам независимо от основных туннелей. Было также задействовано удалённое управление PowerShell (PSRemoting) и специальный патчер для RDP, позволяющий организовывать несколько сеансов на системах, не являющихся серверами. Для командования и управления (C&C) группа использовала несколько избыточных каналов, чтобы сохранить связь даже в случае обнаружения одного из них. Помимо Velociraptor, активно применялись туннели VS Code и Cloudflare Tunnel, маскирующие трафик под легитимные сервисы для разработчиков и облачной инфраструктуры. Новый инструмент Yuze использовался для создания обратных SOCKS5-прокси через порты 80, 443 и 53, что помогало обходить ограничения межсетевых экранов, поскольку трафик через порт DNS (53) часто разрешён.

Наиболее агрессивной частью атаки стало применение техники BYOVD для нейтрализации средств защиты. Вредоносный загрузчик, замаскированный под TrendSecurity.exe, использовал уязвимый драйвер NSecKrnl.sys для создания службы в ядре Windows. Эта служба затем применялась для принудительного завершения процессов более чем 30 продуктов безопасности от таких вендоров, как Trend Micro, CrowdStrike, Microsoft и Broadcom (Symantec). Отчёт специалистов по кибербезопасности показывает, что загрузчик был специально кастомизирован для этой атаки, хотя основа была взята из публично доступного на GitHub проекта NSec-Killer. Важно отметить, что современные EDR-решения обладают механизмами самозащиты, которые могут блокировать такие попытки и генерировать оповещения, давая защитникам шанс на реакцию.

Финальная стадия атаки была автоматизирована и масштабирована за счёт злоупотребления групповыми политиками Active Directory (GPO). Компоненты вредоносного ПО, включая загрузчик для BYOVD и основной шифровальщик, были размещены в сетевых ресурсах SYSVOL и NETLOGON, которые автоматически реплицируются на все контроллеры домена. С помощью GPO, запускающего скрипт при старте системы, вредоносное ПО копировалось и исполнялось на всех компьютерах в домене одновременно. Основная нагрузка - библиотека run.dll - экспортировала функцию RunCryptor для шифрования файлов с расширением .x2anylock, после чего на заражённых системах появлялось требование выкупа.

Анализ тактик, техник и процедур (TTP) группы Warlock, сопоставленный с матрицей MITRE ATT&CK, показывает комплексный и многоэтапный подход. Злоумышленники умело комбинируют эксплуатацию публичных приложений для доступа, использование веб-оболочек для закрепления, методы дампинга учётных данных вроде DCSync, различные средства удалённого управления для перемещения по сети и обфускацию трафика для скрытия каналов управления. Такая эволюция подчёркивает, что группы программ-вымогателей переходят от "громких" быстрых атак к длительным, целенаправленным операциям, максимально использующим легитимные функции инфраструктуры жертвы для собственных целей. Это значительно усложняет их обнаружение традиционными сигнатурными методами и требует от защитников глубокого понимания нормального поведения в корпоративной сети и внедрения многоуровневых стратегий безопасности.

Domains

• auth.qgtxtebl.workers.dev

URLs

• https://files.catbox.moe/wzsjlw.dll
• https://litter.catbox.moe/uaw2gm.txt
• https://litter.catbox.moe/zqqxb3.txt

SHA256

• 06142acc825e0d799d12ff0a03fd714b119c69dce868c98bb5def165b2425454
• 129eec0c999653e30a659f6a336c76d3b6ce810d459a7f860bacbc06fd556277
• 206f27ae820783b7755bca89f83a0fe096dbb510018dd65b63fc80bd20c03261
• 34b2a6c334813adb2cc70f5bd666c4afbdc4a6d8a58cc1c7a902b13bbd2381f4
• 9a3b6cf6aec6df3e5b43dc024d288d06ae03d2a909f188f38ba275a5ac6d3bf0
• ef1b604bf2e2d598437d97af38cbed4e6dbdb3fde771eaaf8389b46c86391a0d