GOLD SALEM的Warlock行动加入繁忙的勒索软件领域
新兴组织展示了使用熟悉的勒索软件手法和独创性暗示的熟练技术
受害者概况和在线活动
截至2025年9月中旬,该组织公布的60名受害者在同期勒索软件行动中排名居中。GOLD SALEM的受害者范围从小型商业或政府实体到遍布北美、欧洲和南美的大型跨国公司。与大多数勒索软件组织一样,GOLD SALEM在很大程度上避免攻击位于中国和俄罗斯的组织,尽管这些地区存在大量潜在目标。
GOLD SALEM在2025年6月之前没有公开足迹,当时一个代表该组织的人物在RAMP地下论坛发帖,征求常见企业应用程序(如Veeam、ESXi、SharePoint)的漏洞利用以及终止端点检测和响应(EDR)系统和其他安全产品的工具。
观察到的事件
2025年7月下旬,CTU研究人员分析了一起事件,其中GOLD SALEM使用ToolShell漏洞利用链针对SharePoint服务器进行初始访问。该漏洞利用链依赖于组合使用漏洞CVE-2025-49704、CVE-2025-49706、CVE-2025-53770和CVE-2025-53771。
利用导致放置了一个ASPX Web Shell,在IIS工作进程(w3wp.exe)上下文中为cmd.exe创建了一个Process对象。攻击者随后可以远程执行任意命令并查看任何结果输出。CTU研究人员观察到通过此Web Shell发出的以下命令:
|
|
下载的可执行文件是基于Golang的WebSockets服务器,允许独立于Web Shell持续访问受感染的服务器。
CTU研究人员还观察到GOLD SALEM通过使用自带易受攻击驱动程序(BYOVD)技术和重命名为googleApiUtil64.sys的易受攻击百度杀毒驱动程序来绕过EDR,终止EDR代理。此驱动程序中的缺陷(CVE-2024-51324)允许终止任意进程。
微软对该组织的分析指出执行了Mimikatz“专门针对本地安全机构子系统服务(LSASS)内存以提取明文凭证”。微软还观察到使用PsExec和Impacket进行横向移动,以及使用组策略对象(GPO)部署Warlock有效负载。
缓解措施和检测
组织应实施定期攻击面监控,并制定面向互联网服务的积极修补策略。零日漏洞利用的检测和缓解需要主动的端点监控和及时的事件响应。
以下Sophos防护检测与此威胁相关的活动:
- Troj/WebShel-F
- Troj/Warlock-B
为减轻对此威胁的暴露,CTU研究人员建议客户使用可用控制措施,审查和限制使用表1中列出的指标进行访问。
| 指标 | 类型 | 上下文 |
|---|---|---|
| bfbeac96a385b1e5643ec0752b132506 | MD5哈希 | GOLD SALEM在SharePoint ToolShell利用后使用的ASPX Web Shell |
| de25be0afd53a1d274eec02e5303622fc8e7dbd5 | SHA1哈希 | GOLD SALEM在SharePoint ToolShell利用后使用的ASPX Web Shell |
| 996c7bcec3c12c3462220fc2c19d61ccc039005ef5e7c8fabc0b34631a31abb1 | SHA256哈希 | GOLD SALEM在SharePoint ToolShell利用后使用的ASPX Web Shell |
| b3a099ecca79503a0e4a154bd85d3e6b | MD5哈希 | GOLD SALEM使用的WebSockets远程访问工具(wsocks.exe.txt) |
| 6d0cc6349a951f0b52394ad3436d1656ec5fba6a | SHA1哈希 | GOLD SALEM使用的WebSockets远程访问工具(wsocks.exe.txt) |
| a204a48496b54bcb7ae171ad435997b92eb746b5718f166b3515736ee34a65b4 | SHA256哈希 | GOLD SALEM使用的WebSockets远程访问工具(wsocks.exe.txt) |
表1:此威胁的指标