Warlock Ransomware Group Augments Post-Exploitation ActivitiesWarlock らンサムグループが、未修正の Microsoft SharePoint サーバーを狙い、BYOVD テクニックなどにより後攻動作を Stealthier に強化したことが明らかとなった。

• Warlock らンサムグループが、未修正の Microsoft SharePoint サーバーを狙い、BYOVD テクニックなどにより後攻動作を Stealthier に強化したことが明らかとなった。
• Nsec ドライバの悪用や TightVNC, Yuze の導入により、ネットワーク横断移動と検知回避が向上し、攻撃チェーンの耐性が飛躍的に高まっている。
• 初期アクセス手法は変化せず SharePoint 脆弱性を狙うことに定着しているが、後攻動作のエボリューションは継続しており、組織にとって重大なリスクとなっている。

['Warlock は初期段階のグループながら、未修正資産への依存から高度な後攻動作へ劇的に進化しており、防御者はパッチ適用だけでなく、ドライバレベルでの監視とトラフィック混合の検知へと対策を強化する必要がある。', 'Microsoft SharePoint の脆弱性を狙うこの攻撃パターンが企業向けアプリケーションの公開化リスクを再燃させつつあり、単なるランサムware 以上のインフラ破壊リスクを含む新型脅威として認識されるべきである。']