Nhóm mã độc ransomware Warlock đã tăng cường hoạt động bằng cách nhắm mục tiêu vào các máy chủ Microsoft SharePoint tại chỗ chưa được vá lỗi. Chúng khai thác các lỗ hổng CVE nghiêm trọng để đạt được thực thi mã từ xa (RCE) và giành quyền truy cập ban đầu vào mạng.

Chiến dịch này, được ghi nhận vào giữa năm 2025, liên quan đến việc gửi các yêu cầu HTTP POST được tạo sẵn. Mục đích là tải lên các webshell, tạo điều kiện cho quá trình trinh sát, leo thang đặc quyền và đánh cắp thông tin xác thực.

Khai Thác Lỗ Hổng SharePoint và Veeam

Những kẻ tấn công đã khai thác các lỗ hổng như CVE-2023-27532 trong phần mềm Veeam Backup lỗi thời. Chúng cũng lợi dụng các vấn đề về deserialization của SharePoint đã được công bố gần đây. Điều này cho phép chúng vượt qua xác thực và xâm nhập sâu vào môi trường doanh nghiệp.

Chiến Dịch Tấn Công và Mục Tiêu

Nạn nhân của nhóm Warlock Ransomware trải rộng trên nhiều châu lục, bao gồm Bắc Mỹ, Châu Âu, Châu Á và Châu Phi. Các lĩnh vực bị ảnh hưởng nặng nề bao gồm chính phủ, tài chính, sản xuất, công nghệ và cơ sở hạ tầng trọng yếu.

Chiến thuật của Warlock phản ánh của các nhóm như Black Basta, cho thấy khả năng liên kết hoặc đổi thương hiệu. Điều này cũng thể hiện sự phát triển nhanh chóng từ các quảng cáo trên diễn đàn vào tháng 6 năm 2025 đến các cuộc tấn công mạng tinh vi ở quy mô toàn cầu.

Kỹ Thuật Leo Thang Đặc Quyền

Lạm Dụng Group Policy Objects (GPO)

Để leo thang đặc quyền, những kẻ tấn công lạm dụng Group Policy Objects (GPO). Chúng tạo GPO mới, kích hoạt các tài khoản khách và thêm chúng vào các nhóm quản trị viên. Việc này cấp cho chúng quyền truy cập nâng cao để tiếp tục xâm nhập hệ thống.

Chuỗi Tấn Công Mã Độc Warlock

Khi đã xâm nhập được vào hệ thống, các nhà điều hành của mã độc ransomware Warlock sử dụng chuỗi tấn công nhiều giai đoạn. Chuỗi này bao gồm né tránh phòng thủ, khám phá hệ thống, truy cập thông tin xác thực và đánh cắp dữ liệu.

Thăm Dò và Thu Thập Thông Tin

Chúng sử dụng các công cụ tích hợp của Windows như cmd.exe và nltest để liệt kê các mối quan hệ tin cậy của miền. Việc thu thập thông tin hệ thống được thực hiện qua ipconfig và tasklist. Phát hiện tài khoản được thực hiện thông qua các lệnh net group.

ipconfig /all
tasklist /svc
net group "Domain Admins" /domain
nltest /dclist:<domain_name>

Trích Xuất Thông Tin Đăng Nhập

Việc trích xuất thông tin đăng nhập (credential dumping) được thực hiện bằng Mimikatz để lấy mật khẩu dạng văn bản từ bộ nhớ. Chúng cũng sao lưu các khóa registry SAM và SECURITY, thường thông qua các công cụ như CrackMapExec.

# Ví dụ lệnh Mimikatz (trong môi trường đã có quyền admin)
lsadump::sam /full
privilege::debug
sekurlsa::logonpasswords

# Ví dụ lệnh CrackMapExec để dump SAM hashes (từ xa)
crackmapexec smb <IP_target> -u <username> -p <password> --sam

Di Chuyển Nội Bộ và Triển Khai Mã Độc

Di chuyển nội bộ xảy ra qua các chia sẻ SMB để sao chép các payload. Chúng bao gồm các tệp nhị phân đã đổi tên như vmtools.exe (được phát hiện là Trojan.Win64.KILLAV.I). Mã độc này chấm dứt các tiến trình bảo mật bằng cách cài đặt một driver độc hại có tên googleApiUtil64.sys và liên tục tiêu diệt các mục tiêu được liệt kê trong tệp log.txt.

Kỹ Thuật Né Tránh Phát Hiện

Trong các chuỗi tấn công trước đó, những kẻ tấn công sử dụng kỹ thuật DLL sideloading với các tệp thực thi hợp pháp như MpCmdRun.exe và jcef_helper.exe để tải các payload độc hại. Chúng cũng ghi đè lên các ổ đĩa bằng writenull.exe để cản trở quá trình phục hồi.

Triển Khai Ransomware và Exfiltration Dữ Liệu

Triển khai mã độc ransomware Warlock sẽ thêm phần mở rộng .x2anylock vào các tệp đã mã hóa và thả các tệp ghi chú đòi tiền chuộc. Dữ liệu bị đánh cắp được đưa ra ngoài bằng RClone, được ngụy trang thành TrendSecurity.exe, và gửi đến các tài khoản Proton Drive.

Phần mềm độc hại này, một biến thể của LockBit 3.0, tránh mã hóa các phần mở rộng, thư mục và tên hệ thống cụ thể được đưa vào danh sách trắng để duy trì tính ẩn danh trong hoạt động.

Các Chỉ Số Thỏa Hiệp (IOCs)

Các tổ chức nên theo dõi các chỉ số thỏa hiệp (IOCs) sau:

• Phần mở rộng tệp mã hóa: .x2anylock
• Tên tệp nhị phân độc hại được đổi tên: vmtools.exe (được phát hiện là Trojan.Win64.KILLAV.I)
• Driver độc hại: googleApiUtil64.sys
• Tệp dùng cho exfiltration: RClone được ngụy trang thành TrendSecurity.exe
• Tệp thực thi hợp pháp bị lạm dụng cho DLL sideloading: MpCmdRun.exe, jcef_helper.exe
• Tệp dùng để ghi đè ổ đĩa: writenull.exe
• Tên ghi chú đòi tiền chuộc: (Không được cung cấp cụ thể, nhưng cần giám sát các tệp .txt hoặc .html mới xuất hiện sau mã hóa)
• Các sửa đổi GPO đáng ngờ
• Kích hoạt RDP trái phép
• Tunneling giao thức thông qua các tệp nhị phân Cloudflare đã đổi tên

Biện Pháp Phòng Ngừa và Giảm Thiểu Rủi Ro

Cập Nhật Bản Vá và Giám Sát Chủ Động

Cuộc tấn công mạng này nhấn mạnh rủi ro của việc trì hoãn cập nhật các bản vá bảo mật và sự cần thiết của các biện pháp phòng thủ đa lớp. Các tổ chức nên ngay lập tức áp dụng các bản vá của Microsoft cho các lỗ hổng SharePoint.

Đồng thời, cần giám sát các chỉ số như sửa đổi GPO đáng ngờ, kích hoạt RDP trái phép hoặc tunneling giao thức qua các tệp nhị phân Cloudflare đã đổi tên.

Phát Hiện và Phản Ứng

Theo báo cáo từ Trend Micro, nền tảng Vision One của họ cung cấp khả năng phát hiện IOCs của mã độc ransomware Warlock thông qua các truy vấn săn lùng mối đe dọa, cập nhật thông tin tình báo và các quy tắc chủ động. Các quy tắc này giúp chặn các nỗ lực khai thác, chấm dứt tiến trình và exfiltration dữ liệu. Chi tiết về phát hiện Warlock Ransomware có thể được tìm thấy trên blog của Trend Micro.

Việc giám sát liên tục các hoạt động trích xuất thông tin đăng nhập, di chuyển nội bộ và thực thi lệnh bất thường là điều cần thiết. Cùng với đó, cần hạn chế các chia sẻ quản trị và duy trì các chữ ký bảo mật được cập nhật để chống lại các biến thể ransomware đang phát triển như Warlock.