GOLD SALEM的Warlock行动加入繁忙的勒索软件领域

新兴组织展示了使用熟悉勒索软件剧本的能力，并体现出独创性

威胁概况

反威胁单位™（CTU）研究人员正在监控一个自称Warlock Group的威胁组织。该组织被CTU™研究人员追踪为GOLD SALEM，自2025年3月以来已入侵网络并部署其Warlock勒索软件。微软将此威胁组织称为Storm-2603，并"以中等置信度认定其为中国境内的威胁行为者"，但CTU研究人员没有足够证据证实这一归因。

受害者分析和在线活动

截至2025年9月中旬，该组织公布的60名受害者数量在同期的勒索软件行动中处于中等水平。GOLD SALEM的受害者范围从小型商业或政府实体到遍布北美、欧洲和南美的大型跨国公司。与大多数勒索软件组织一样，GOLD SALEM在很大程度上避免入侵位于中国和俄罗斯的组织，尽管这些地区存在大量潜在目标。然而，该组织于9月8日在其专用泄露网站（DLS）上发布了一名俄罗斯受害者的名称。该商业实体为发电行业提供工程服务和设备。

GOLD SALEM在2025年6月之前没有公开足迹，当时一个代表该组织的人物在RAMP地下论坛发帖，征集常见企业应用程序（如Veeam、ESXi、SharePoint）的漏洞利用工具，以及用于终止端点检测和响应（EDR）系统和其他安全产品的工具。随后的帖子寻求初始访问经纪人（IAB）提供潜在受害者。

技术攻击细节

CTU研究人员在7月下旬分析了一起事件，其中GOLD SALEM使用ToolShell漏洞利用链针对SharePoint服务器进行初始访问。该漏洞利用链依赖于组合使用CVE-2025-49704、CVE-2025-49706、CVE-2025-53770和CVE-2025-53771漏洞。利用导致部署了一个ASPX Web Shell，在IIS工作进程（w3wp.exe）上下文中为cmd.exe创建了一个Process对象。攻击者随后可以远程执行任意命令并查看任何结果输出。

CTU研究人员还观察到GOLD SALEM使用自带易受攻击驱动程序（BYOVD）技术绕过EDR，通过重命名为googleApiUtil64.sys的易受攻击百度杀毒驱动程序来终止EDR代理。该驱动程序中的漏洞（CVE-2024-51324）允许终止任意进程。

微软对该组织的分析指出其执行Mimikatz"专门针对本地安全机构子系统服务（LSASS）内存以提取明文凭证"。微软还观察到使用PsExec和Impacket进行横向移动，以及使用组策略对象（GPO）部署Warlock有效负载。

防护建议

组织应实施定期攻击面监控，并制定面向互联网服务的积极修补策略。零日漏洞利用的检测和缓解需要主动的端点监控和及时的事件响应。

以下Sophos防护措施可检测与此威胁相关的活动：

• Troj/WebShel-F
• Troj/Warlock-B

为减轻此威胁的暴露风险，CTU研究人员建议客户使用可用控制措施，根据表1所列指标审查和限制访问。

表1：此威胁的指标