СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.12.2025
#ИБ

GOLD SALEM: атаки Warlock через SharePoint, ToolShell и туннели

В августе 2025 года исследователи Подразделения по борьбе с угрозами (CTU) зафиксировали активность, указывающую на операции-предшественники программ-вымогателей, связанных с Warlock ransomware, приписываемых киберпреступной группе GOLD SALEM. Анализ показал быструю эксплуатацию выявленных уязвимостей, использование известных легитимных инструментов в злонамеренных целях и целенаправленную виктимологию, включающую организации в «чувствительных» секторах.

Как происходил первоначальный доступ

GOLD SALEM преимущественно использовала уязвимости SharePoint для получения первоначального доступа в ряде инцидентов. В одном из случаев злоумышленники задействовали цепочку эксплойтов ToolShell сразу после того, как код эксплойта стал общедоступен на GitHub. Это подчёркивает скорость, с которой атакующие включают публичные PoC в свои операции.

«Это примечательно, поскольку отражает то, насколько быстро злоумышленники могут использовать обнаруженные уязвимости.»

Методы закрепления и привилегированного доступа

После получения доступа группа применяла традиционные и проверенные методы закрепления в сетях жертв:

  • создание новых административных учетных записей;
  • использование согласованных (reused) учетных данных в нескольких инцидентах;
  • использование инструментов для дальнейшей работы по сети и обеспечения устойчивости присутствия.

Использование легитимных инструментов и уклонение от обнаружения

CTU зафиксировало применение GOLD SALEM ряда легитимных средств в «подрывных» целях, что усложняет их обнаружение и атрибуцию:

  • Velociraptor — инструмент цифровой криминалистики, загруженный из скомпрометированной инфраструктуры и использованный злоумышленниками для оперативных задач;
  • антивирус/EDR-компонент под названием killer vmtools.exe — тактика уклонения от обороны и подмена процессов;
  • загрузка и запуск легитимных приложений с целью туннелирования и управления (см. ниже).

Инфраструктура C2 и туннелирование

Для организации каналов управления и управления удалёнными сессиями GOLD SALEM использовала следующие подходы:

  • настройка каналов через Visual Studio Code в туннельном режиме;
  • использование инструмента туннелирования Cloudflared для сокрытия коммуникаций;
  • первичная загрузка этих инструментов часто происходила из доменов, контролируемых группой — что подчёркивает централизованную практику размещения утилит и эксплойтов.

Психологическое давление и мульти-шифровальщики

Расследование CTU показало, что GOLD SALEM использовал несколько эмблем и вариантов вымогателей, включая Warlock, LockBit и Babuk, часто именуя исполняемые файлы в соответствии с целевой организацией. Такая тактика усиливает психологическое воздействие на жертв и создаёт дополнительное давление при вымогательствах.

Виктимология и возможная мотивация

Жертвы GOLD SALEM в основном связаны с «чувствительными» секторами:

  • телекоммуникации;
  • атомная энергетика;
  • аэрокосмические исследования.

Такая виктимология может привлечь интерес со стороны национально-государственных субъектов и указывает на то, что, помимо финансовой выгоды, атакующие могли преследовать цели сбора данных. Примечательно также то, что среди целей группы фигурируют организации в России — поведение нетипичное для локальных групп вымогателей и позволяющее сделать вывод о том, что GOLD SALEM вероятно действует за пределами юрисдикции российских правоохранительных органов.

Выводы и практические рекомендации

Ключевые выводы из отчёта CTU:

  • атакующие оперативно используют публично доступные эксплойты (пример — ToolShell после публикации на GitHub);
  • использование легитимных инструментов (Velociraptor, Visual Studio Code, Cloudflared) повышает сложность обнаружения;
  • тактика мульти-брендирования ransomware указывает на намеренный психологический эффект;
  • выбор целей в «чувствительных» секторах и атаки против объектов в России позволяют предполагать трансграничную операционную модель и возможные интересы государственных акторов.

Организациям, особенно в чувствительных секторах, CTU рекомендует в первую очередь:

  • проводить своевременное патчение SharePoint и мониторить появление публичных PoC-эксплойтов на платформах вроде GitHub;
  • отслеживать аномалии, связанные с запуском легитимных инструментов (Velociraptor, Visual Studio Code в нестандартных режимах, Cloudflared) и именами процессов вроде killer vmtools.exe;
  • контролировать создание новых административных аккаунтов и использование повторно применяемых учетных данных;
  • обеспечить подготовку инцидент-ответа с учётом сценариев, где злоумышленники используют легитимные средства для маскировки своих действий.

Отчёт CTU подчёркивает, что сочетание быстрой эксплуатации уязвимостей, использования легитимного ПО в злонамеренных целях и целенаправленного выбора жертв делает GOLD SALEM одной из групп, заслуживающих повышенного внимания со стороны отрасли и органов кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: