攻撃者は、LockBit および Babuk ランサムウェアを展開する攻撃において、Velociraptor デジタルフォレンジックおよびインシデントレスポンス(DFIR)ツールを使用し始めています。
Cisco Talosの研究者は、これらのキャンペーンの背後にいる攻撃者は、Storm-2603として追跡されている中国ベースの敵対者であると中程度の信頼度で評価しています。
Velociraptorは、Mike Cohenによって作成されたオープンソースのDFIRツールです。このプロジェクトはRapid7によって買収され、Rapid7はその強化版を顧客に提供している。
サイバーセキュリティ企業のSophosは8月26日、ハッカーがリモートアクセスのためにVelociraptorを悪用していると報告した。具体的には、Velociraptorを利用して、侵害されたホスト上でVisual Studio Codeをダウンロード・実行し、コマンド・アンド・コントロール(C2)インフラとの安全な通信トンネルを確立していた。
ランサムウェア対策企業のHalcyonは本日未明のレポートで、Storm-2603は中国の国家行為者と関係があり、WarlockランサムウェアやCL-CRI-1040と同じグループであり、LockBitの関連会社として活動していると評価しています。
ステルス性の持続的アクセス
Cisco Talosによると、敵対者はCVE-2025-6264として特定された特権昇格のセキュリティ問題に脆弱性のあるVelociraptorの古いバージョンを使用しており、任意のコマンドを実行させ、ホストを制御することが可能でした。
攻撃の第一段階では、脅威者はEntra IDに同期されたローカル管理者アカウントを作成し、それを使用してVMware vSphereコンソールにアクセスし、仮想マシン(VM)を永続的に制御しました。
Cisco Talosは、「最初のアクセス権を獲得した後、脅威者は、任意のコマンド実行とエンドポイントの乗っ取りにつながる可能性のある特権昇格の脆弱性(CVE-2025-6264)にさらされていたVelociraptorの古いバージョン(バージョン0.73.4.0)をインストールしました」と説明しています。
研究者は、Velociraptorが攻撃者の持続性を維持するのに役立っており、ホストが隔離された後でも複数回起動したことを指摘しています。
また、リモートでプログラムを実行するためのImpacket smbexecスタイルのコマンドの実行や、バッチスクリプトのスケジュールタスクの作成も確認されました。
攻撃者は、Active Directory の GPO を変更することで Defender のリアルタイム保護を無効にし、振る舞いおよびファイル/プログラムのアクティビティ監視をオフにしました。
エンドポイント検出および対応(EDR)ソリューションは、Windowsターゲットシステム上に展開されたランサムウェアをLockBitとして識別しましたが、暗号化されたファイルの拡張子は、Warlockランサムウェア攻撃に見られる「.xlockxlock」でした。
VMware ESXiシステム上では、研究者はBabukランサムウェアとして検出されたLinuxバイナリを発見しました。
また、Cisco Talosの研究者は、実行ごとにランダムなAESキーを生成するファイルレスのPowerShell暗号化ツールの使用も確認しています。
データを暗号化する前に、攻撃者は別のPowerShellスクリプトを使用して、二重の恐喝目的でファイルを流出させた。このスクリプトは、「Start-Sleep」を使用してアップロード動作の間に遅延を挿入し、サンドボックスや分析環境を回避します。
Cisco Talosの研究者は、攻撃で観測された侵害の指標(IoC)の2つのセットを提供しています。これらには、脅威行為者が侵害されたマシンにアップロードしたファイルとVelociraptorファイルが含まれます。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
今年のセキュリティ検証イベントPicus BASサミット
Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。
セキュリティ戦略の未来を形作るイベントをお見逃しなく。
Comments