كشفت شركة تريند مايكرو أن مشغلي برمجيات الفدية Warlock استغلوا بشكل مكثف ثغرة ToolShell في Microsoft SharePoint لاستهداف ضحايا حول العالم، مما مكنهم من تحقيق اختراقات عميقة وسريعة للمنظمات غير المحدثة عبر سلسلة من تقنيات ما بعد الاستغلال المتقدمة. وأوضحت الشركة أن الاستغلال اعتمد على ثغرات في المصادقة وآليات “deserialization” داخل SharePoint، ما أتاح للمهاجمين تنفيذ تعليمات برمجية، ورفع الامتيازات، والتنقل داخل الشبكة وصولا إلى نشر برمجيات الفدية على نطاق واسع.
وفي 23 يوليو، أعلنت مايكروسوفت أن جهة تهديد صينية تُعرف باسم Storm-2603 استخدمت خوادم SharePoint محلية لتوزيع Warlock. وجاء هذا بعد أيام من تحذير الشركة لعملائها من أن المهاجمين يستهدفون سلسلة استغلال ToolShell بنشاط. ووفقا للتقرير الصادر في 20 أغسطس، فقد تمكنت Warlock من تثبيت حضورها في مشهد الجريمة الإلكترونية بسرعة منذ يونيو 2025، حيث ظهرت للمرة الأولى في منتدى RAMP الناطق بالروسية بشعار: “إذا كنت تريد لامبورغيني، تواصل معي”.
خلال منتصف 2025، توسعت قائمة ضحايا المجموعة لتشمل منظمات في أميركا الشمالية وأوروبا وآسيا وأفريقيا، وشملت قطاعات تمتد من التكنولوجيا إلى البنية التحتية الحرجة. وقد تبنت المجموعة هجوما على شركة Colt Technology Services البريطانية للاتصالات في أغسطس 2025.
سلسلة هجوم معقدة لما بعد الاستغلال
اعتمدت الهجمات على تسلسل تقني متطور يبدأ بإنشاء كائن نهج جماعي جديد (GPO) لرفع الامتيازات داخل النطاق. ثم يقوم المهاجم بتفعيل حساب “guest” في أجهزة ويندوز وتغيير كلمة مروره، وإضافته إلى مجموعة “administrators” لمنحه صلاحيات إدارية. بعد ذلك، يتم إنشاء قناة تحكم وسيطرة (C2) خفية داخل البيئة المصابة، في إحدى الحالات باستخدام ملف Cloudflare تمت إعادة تسميته لتفادي الاكتشاف.
كما اعتمد المهاجمون على Windows Command Shell لتنفيذ سكربتات وملفات دفعية، إلى جانب محاولات لتعطيل خدمات وبرمجيات الحماية. وتضمنت الخطوات الاستطلاع المتعمق لجمع معلومات شاملة عن البيئة المخترقة، بما في ذلك إعدادات الشبكة وسياقات الامتيازات. وللتنقل الأفقي، استُخدمت بروتوكولات مثل SMB لنقل الملفات الخبيثة عبر الأجهزة، إلى جانب تمكين بروتوكول RDP عبر تعديل إعدادات النظام.
تم نشر برمجية الفدية عبر أداة Ingress لنقل الملفات إلى المجلدات العامة على عدة أجهزة، ليبدأ التشفير ووضع ملاحظات الفدية بعنوان “How to decrypt my data.txt” في المجلدات المتأثرة. كما تم تعطيل عمليات وخدمات شرعية لإعاقة الاستعادة. وأشارت التحليلات إلى أن Warlock تمثل نسخة معدلة من أداة بناء LockBit 3.0 التي تم تسريبها. أما عملية تسريب البيانات فقد تمت باستخدام أداة RClone، التي تنكرت في بعض الحالات كملف تنفيذي شرعي مثل TrendSecurity.exe.
وحث الباحثون جميع المؤسسات على الإسراع في تحديث خوادم SharePoint المحلية لديهم، مع نشر قدرات دفاعية متعددة الطبقات لمواجهة التهديدات المتنامية لبرمجيات الفدية Warlock.
