脅威アクターは、LockBitおよびBabukランサムウェアを展開する攻撃で、Velociraptorデジタルフォレンジックおよびインシデント対応(DFIR)ツールの使用を開始しました。
Cisco Talosの研究者は、中程度の確信をもって、このキャンペーンの背後にいる攻撃者はStorm-2603として追跡されている中国拠点の敵対者であると評価しています。
Velociraptorは、
サイバーセキュリティ企業Sophosは8月26日に、ハッカーがVelociraptorをリモートアクセスに悪用していると報告しました。具体的には、脅威アクターはこれを利用して、侵害されたホスト上でVisual Studio Codeをダウンロードおよび実行し、コマンド&コントロール(C2)インフラストラクチャとの安全な通信トンネルを確立しました。
本日発表されたレポートで、ランサムウェア対策企業Halcyonは、Storm-2603が中国の国家支援アクターと関係しており、WarlockランサムウェアおよびCL-CRI-1040と同一グループであり、LockBitのアフィリエイトとして活動していたと評価しています。
ステルス性の高い永続的アクセス
Cisco Talosによると、敵対者はCVE-2025-6264として特定された権限昇格の脆弱性がある古いバージョンのVelociraptorを使用しており、これにより任意のコマンド実行やホストの制御が可能となっていました。
攻撃の第一段階では、脅威アクターはローカル管理者アカウントを作成し、それをEntra IDと同期させ、VMware vSphereコンソールにアクセスするために使用し、仮想マシン(VM)に対する永続的な制御を得ていました。
「初期アクセスを得た後、攻撃者は権限昇格の脆弱性(CVE-2025-6264)を持つ古いバージョンのVelociraptor(バージョン0.73.4.0)をインストールし、任意のコマンド実行やエンドポイントの乗っ取りが可能となりました」とCisco Talosは説明しています。
研究者は、Velociraptorが攻撃者による永続性の維持に役立ち、ホストが隔離された後でも複数回起動されていたことを指摘しています。
また、Impacketのsmbexecスタイルのコマンドを使ってプログラムをリモートで実行したり、バッチスクリプト用のスケジュールタスクを作成したりしていたことも観察されました。
攻撃者はActive Directory GPOを変更してDefenderのリアルタイム保護を無効化し、動作やファイル/プログラムのアクティビティ監視もオフにしました。
エンドポイント検知・対応(EDR)ソリューションは、Windowsターゲットシステムに展開されたランサムウェアをLockBitとして識別しましたが、暗号化されたファイルの拡張子はWarlockランサムウェア攻撃で見られる「.xlockxlock」でした。
VMware ESXiシステムでは、研究者はBabukランサムウェアとして検出されたLinuxバイナリを発見しました。
Cisco Talosの研究者はまた、ファイルレスのPowerShell暗号化ツールが実行ごとにランダムなAESキーを生成していることを観察しており、これが「Windowsマシン上での大量暗号化の主なツール」であると考えられています。
データを暗号化する前に、攻撃者は別のPowerShellスクリプトを使ってファイルを流出させ、二重脅迫を行っていました。このスクリプトは「Start-Sleep」を使ってアップロード操作の間に遅延を挿入し、サンドボックスや解析環境の回避を図っています。
Cisco Talosの研究者は、攻撃で観察された侵害の痕跡(IoC)を2セット提供しており、これには脅威アクターが侵害したマシンにアップロードしたファイルやVelociraptor関連ファイルが含まれています。
