【安全资讯】Warlock勒索软件组织升级攻击链，利用新工具实现持久化与横向移动

概要：

近期网络安全监测发现，被称为Warlock（又名Water Manaul）的勒索软件组织显著升级了其攻击战术、技术与程序（TTPs）。该组织在利用未修补的Microsoft SharePoint服务器获取初始访问后，引入了包括TightVNC、Yuze以及新型BYOVD技术在内的工具集，以增强其在受害者网络中的持久性、横向移动和防御规避能力。根据其2025年下半年泄露站点数据，科技、制造和政府等行业成为主要攻击目标，美国、德国和俄罗斯则是受影响最严重的国家。

主要内容：

Warlock组织在本次攻击中保持了通过利用面向互联网的SharePoint漏洞获取初始访问的惯用手法。然而，其后续攻击工具链得到了显著扩展。除了继续滥用Velociraptor作为主要C&C框架，并利用Cloudflare Tunnel进行通信外，该组织新增了三种关键工具：通过PsExec静默部署TightVNC服务以实现持久化的图形界面远程访问；使用基于C语言的轻量级开源反向代理工具Yuze，通过80、443和53端口建立SOCKS5连接以进行C&C通信；以及利用NSecKrnl.sys驱动程序漏洞的新型BYOVD技术，在内核层面终止安全软件进程。

攻击者进入网络后，进行了广泛的横向移动和凭证窃取。他们使用PsExec、PowerShell Remoting等合法管理工具，并实施了DCSync攻击以获取域控制器中的用户凭证。在获得域管理员权限后，攻击者通过组策略（GPO）在域内广泛部署恶意软件。数据外泄阶段，攻击者将合法的rclone.exe工具重命名为TrendFileSecurityCheck.exe，用于将数据窃取到其控制的S3存储桶中。

最终，勒索软件payload通过组策略在域内大规模自动部署。主要加密模块run.dll通过rundll32调用其导出函数RunCryptor执行文件加密，并在加密完成后在每个受感染系统上留下名为lockdatareadme.txt的勒索信。整个攻击链从初始入侵到勒索软件部署，攻击者在受害者网络内潜伏了长达15天，展示了其高度的耐心和规避检测的能力。