中国拠点の脅威アクターが旧式のVelociraptorを悪用し、持続性を維持しつつWarlock、LockBit、Babukランサムウェアの展開を支援
侵入者を追跡するためのオープンソースDFIRツールであるVelociraptor自体が悪用され、脅威アクターによる組織的なランサムウェア作戦に利用されています。これまで恐喝攻撃に関連付けられたことはありませんでしたが、このツールが中国拠点のグループStorm-2603によって悪用されていることが判明しました。同グループは以前、Microsoft SharePointの脆弱性を悪用したことで知られています。
Cisco Talosの研究者は、2025年8月に未公開の多層型ランサムウェアインシデントに対応中、この活動を初めて発見しました。
「Talosは、Warlockランサムウェアの身代金メモやWarlockのデータリークサイト(DLS)の利用に基づき、Warlockランサムウェアと関係があると思われるアクターによるランサムウェア攻撃に対応しました」とTalosの研究者はブログ投稿で述べています。「彼らはWarlock、LockBit、Babukランサムウェアを展開し、VMware ESXi仮想マシン(VM)やWindowsサーバーを暗号化しました。これにより顧客のIT環境に深刻な影響が及びました。」
Talosは、「ツールや戦術、技術、手順(TTP)の重複」を挙げ、中程度の確信度でこの活動を同グループに帰属させました。
優れたツールが悪用されるとき
Velociraptorは通常、防御側がWindows、Linux、macOSシステム全体にエージェントを展開し、継続的にテレメトリを収集しセキュリティイベントに対応するために利用されます。しかし今回のキャンペーンでは、攻撃者が古い脆弱なバージョン(0.73.4.0)を使用し、特権昇格の脆弱性(CVE-2025-6264)にさらされ、コマンド実行やエンドポイントの完全な乗っ取りが可能となっていました。
乗っ取られたVelociraptorエージェントは、SophosのCTUによって観測されたケースでも、Visual Studioコードをダウンロード・実行するよう操作されており、これはコマンド&コントロール(C2)サーバーへのトンネル作成が目的と考えられます。Talosは、感染したホストが隔離された後もVelociraptorが起動し続けていたことを指摘し、ツールが侵害システム内で持続性維持に果たした役割を強調しました。
「Velociraptorはこのキャンペーンで重要な役割を果たし、アクターがLockBitやBabukランサムウェアを展開しつつ、ステルス性の高い持続的なアクセスを維持するのに寄与しました」とTalosの研究者は付け加えています。「このツールがランサムウェアのプレイブックに加わったことは、Talosの『2024年レビュー』の調査結果とも一致しており、脅威アクターが商用およびオープンソース製品の多様な利用を進めていることを示しています。」
帰属とランサムウェアのカクテル
Talosは、Storm-2603という中国拠点と疑われる脅威アクターにこのキャンペーンを関連付けており、「cmd.exe」の利用、Defender保護の無効化、スケジュールタスクの作成、グループポリシーオブジェクトの操作など、TTPの一致を挙げています。1つの作戦で複数のランサムウェア(Warlock、LockBit、Babuk)を使用したことも、この帰属の確信度を高める要因となりました。
「Talosは、EDRソリューションによってLockBitと識別されたランサムウェア実行ファイルがWindowsマシン上で観測され、Warlockの拡張子『xlockxlock』で暗号化されたファイルも確認しました」と研究者は付け加えています。「また、ESXiサーバー上にはBabuk暗号化ツールと識別されたLinuxバイナリも存在し、部分的な暗号化のみを実行し、ファイルに『.babyk』を付与していました。」
Talosの研究者は、今回の侵害でBabukランサムウェアが登場したのは初めてだと付け加えています。Storm-2603がBabukと公に関連付けられたことはこれまでなく、WarlockとLockBitの同時展開は以前報告されています。攻撃者が進捗報告を抑制し、サンドボックス検知を回避するために遅延を組み込んだステルス性の高いPowerShellスクリプトを使って機密データを流出させるなど、二重恐喝戦略も明らかになりました。
Talosは、防御側に対し、すべてのVelociraptor導入環境の整合性とバージョンを確認し、特権昇格の脆弱性CVE-2025-6264を修正する0.73.5以降にアップデートするよう強く求めています。この発表は、今週発生した正規のオープンソースソフトウェアが悪用された別の事例に続くもので、以前には中国系ハッカーがNezha RMMツールを武器化し、GhostRATを展開した事例がありました。
