読了時間:5分
出典:RaymondAsiaPhotography(Alamyストックフォト)
Storm-2603として知られる中国拠点の脅威グループが、新たな武器をハッキングの手口に加えました。
Cisco Talosの研究者は、Storm-2603がオープンソースのデジタルフォレンジックおよびインシデント対応(DFIR)ツールであるVelociraptorを、最近のランサムウェア攻撃で悪用していることを観測しました。このオープンソースプロジェクトは、2021年にRapid7に買収され、セキュリティ研究者のMichael Cohenによって、インシデント対応チームがエンドポイントの監視や調査を支援するために設計されました。しかし、攻撃者は防御側のツールを逆手に取り、Velociraptorを悪意ある活動の隠蔽に利用しているようです。
Storm-2603は、7月に複数の脅威グループの一つとして脅威の表舞台に現れ、一連のSharePointの脆弱性を悪用する「ToolShell」と呼ばれる攻撃チェーンで活動しました。ここで、脅威アクターはSharePointサーバーにアクセスし、被害者のネットワーク内を横断し、Warlockランサムウェアを展開しました。Cisco Talosの研究者は木曜日に公開したブログ記事で、8月に別のインシデントに対応したと述べています。この事件では、脅威アクターが被害者のVMware ESXiサーバーに3種類のランサムウェア(Warlock、LockBit、Babuk)を投入し、組織に深刻な混乱をもたらしました。
このランサムウェア3種に加え、Cisco TalosはStorm-2603のアクターが攻撃を支援するためにVelociraptorも展開していたことを発見しました。これは戦略の転換であり、研究者はこのツールが8月以前にランサムウェア攻撃と明確に結びついたことはなかったと指摘しています。
「Velociraptorはこのキャンペーンで重要な役割を果たし、アクターがLockBitやBabukランサムウェアを展開しながら、ステルス性の高い永続的なアクセスを維持できるようにしました」と研究者は記しています。「初期アクセスを得た後、アクターは特権昇格の脆弱性(CVE-2025-6264)にさらされた古いバージョンのVelociraptor(バージョン0.73.4.0)をインストールしました。この脆弱性は任意のコマンド実行やエンドポイントの乗っ取りにつながる可能性があります。」
Dark Readingはこの攻撃に関する追加情報を求めてCisco Talosに問い合わせましたが、同社はコメントを控えました。
Storm-2603攻撃でVelociraptorが逆襲
Cisco Talosのブログ記事は、8月にSophosが初めてランサムウェアアクターによるVelociraptorの悪用を記録した以前の調査を引用しています。Sophos Counter Threat Unit(CTU)の研究者は、その月に発生したインシデントに対応し、SecureworksのTaegisプラットフォームからのアラートがなければ、ランサムウェアの展開につながっていた可能性が高いと述べています。
「このインシデントでは、脅威アクターはVisual Studio Codeをダウンロードして実行するためにツールを使用し、攻撃者が制御するコマンド&コントロール(C2)サーバーへのトンネルを作成する意図があったと考えられます」とCTUの研究チームは記しています。「Visual Studio Codeでトンネルオプションを有効にすると、リモートアクセスやリモートコード実行が可能となり、過去にも複数の脅威グループによって悪用されてきたため、Taegisのアラートが発動しました。」
Sophos CTUの脅威インテリジェンスディレクターであるRafe Pilling氏は、Cisco Talosが示したStorm-2603の活動は「同じ脅威グループおよび戦術が関与している」とDark Readingに語っています。Pilling氏によれば、Sophosが確認したVelociraptorの悪用の最も早い検出は8月5日だといいます。
「8月26日にWarlockによるVelociraptorの使用についてブログを公開した後(Gold Salemとして追跡しており、Storm-2603とも呼ばれています)、グループはCloudflareのworkers.devサービス上の新しいC2ドメインの使用に切り替えました」と彼は述べています。「9月の最初の2週間には、彼らの攻撃でVelociraptorの使用が引き続き確認されましたが、それ以降は見られていません。」
Sophosは9月17日のフォローアップ記事で、これらの侵入の一部がWarlockランサムウェアの展開で終わったと述べています。「この活動を調査する中で、ネットワーク全体にVelociraptorを広く展開していた顧客が複数見受けられましたが、これらのインストールはGold Salem/Warlockによる悪意ある使用とはデータ上で異なって見えます」とPilling氏は述べています。
具体的には、脅威アクターはMicrosoft SharePointサーバーを標的とし、コマンドラインツールのMsiexecを使ってVelociraptorをインストールしていました。Pilling氏によれば、この悪意ある活動はSophos Endpointプラットフォームの振る舞い検知によって捕捉されました。
Velociraptor DFIRの悪用検知と対策
Sophos CTUの研究者は8月のレポートで、Velociraptorの悪用は、脅威アクターが被害者ネットワーク内で永続的な足場を築くためにインシデント対応ツールへとシフトしていることを示していると述べています。Cisco Talosも同意し、ランサムウェア集団の手口にVelociraptorが加わったことは、Talos 2024年レビューレポートでの同社の発見と一致すると指摘しています。このレポートでは、脅威アクターが正規の商用・オープンソース製品を攻撃に悪用するケースが増えていると警告しています。
Cisco Talosは、Velociraptorの潜在的な悪用を特定・緩和するためのRapid7のガイダンスを引用しています。このガイダンスでは、ツールが悪用された場合、「検出しやすい」侵害の痕跡(IoC)を意図的に生成することが記されています。Rapid7は、Velociraptorがオープンソースであるため、攻撃者がIoCの生成を削除するようツールを改変できることを認めていますが、そのようなバイナリは署名されていないか、Rapid7以外のエンティティによって署名されているため、フラグ付けすべきだと述べています。
Rapid7は木曜日のブログ記事で報告された攻撃に対応しました。「Rapid7はこの件および他のVelociraptor関連の悪用に対する検知機能を実装しており、本インシデントの影響は受けていません」とRapid7の脅威分析シニアディレクター、Christiaan Beek氏は記しています。
Beek氏は、Sophos CTUの研究者が観測した活動では、脅威アクターがVelociraptorのバイナリをダウンロードし、設定ファイルでC2サーバーを指定していたと指摘しています。一度侵害されたシステムに展開されると、攻撃者はVelociraptorを使ってC2サーバーとの通信を確立し、追加ファイルのダウンロードやコマンドの実行を行っていました。
「この挙動はソフトウェアの欠陥ではなく、正規の収集・オーケストレーション機能を敵対者が単に転用している悪用パターンを反映しています」とBeek氏は記しています。
Beek氏によれば、組織は自社環境内のVelociraptorインスタンスが正規のものであるか確認し、「velociraptor.exe」に関連する新規作成サービスやスケジュールタスクがエンドポイントログにないか分析すべきです。さらに、未知のVelociraptorバイナリの実行は制限するよう、セキュリティチームに推奨しています。
