概要
Cisco Talosは、ランサムウェア攻撃者がオープンソースのデジタルフォレンジックおよびインシデントレスポンス(DFIR)ツールであるVelociraptorを悪用していることを確認しました。これは、Velociraptorとランサムウェア運用との間の初の明確な関連付けであり、脅威アクターが正規のセキュリティソフトウェアを攻撃手法に組み込む方法の変化を示しています。
観測されたキャンペーンでは、攻撃者は侵害されたホストに古いバージョンのVelociraptor(v0.73.4.0)をインストールし、特権昇格の脆弱性(CVE-2025-6264)を悪用してSYSTEMとして任意のコマンドを実行しました。この脆弱なバージョンにより、攻撃者はセキュリティチームによってホストが隔離された後でも、長期間にわたるステルス性の高いアクセスを維持することができました。Velociraptorをアラートをトリガーすることなく展開することで、攻撃者は偵察コマンドを実行し、スケジュールされたタスクを操作し、重要なMicrosoft Defender機能を無効にして検出を回避しました。
多様なランサムウェアの展開
初期アクセス後、脅威アクターはVMware ESXi仮想マシンおよびWindowsサーバー全体に、Warlock、LockBit、Babukのランサムウェアを組み合わせて展開しました。2025年6月に登場し、Storm-2603と密接に関連しているWarlockランサムウェアは、暗号化されたファイルに「.xlockxlock」拡張子を付加しました。同時に、BabukバイナリはESXiホストを標的とし、部分的に暗号化されたファイルに「.babyk」を付加しました。単一のキャンペーンで2つの異なるランサムウェアファミリーを使用することは異例であり、Storm-2603が攻撃を組織したという確信を高めています。
データ窃取と攻撃者の特定
二重恐喝のために機密データを窃取するため、攻撃者はPowerShellスクリプトを実行しました。このスクリプトは、50MB未満のOffice文書を再帰的に収集し、HTTP PUTリクエストを介してリモートサーバーにアップロードしました。スクリプトは、`$ProgressPreference = ‘SilentlyContinue’`を設定して進行状況の出力を抑制し、ランダムなスリープ間隔を採用することで、サンドボックス分析を妨害し、セキュリティアラートを回避しました。
Talosは、このキャンペーンを中国を拠点とする脅威アクターStorm-2603に中程度の確度で帰属させています。これは、cmd.exeバッチスクリプト、スケジュールされたタスク、IISコンポーネントの操作による悪意のある.NETアセンブリのロード、グループポリシーオブジェクトの変更など、重複するTTPs(戦術、技術、手順)と、WarlockおよびLockBitランサムウェアの展開に基づいています。Babukは以前Storm-2603によって展開されたことはありませんでしたが、ESXiシステムでのその存在は、運用上の実験またはランサムウェアグループ間のツール共有を示唆しています。
初期侵入に関する限られた可視性により、ToolShellの悪用を直接観察することはできませんでしたが、被害者のSharePointサーバーがこれらの脆弱性に対してパッチが適用されていなかったことから、ToolShellを介した初期アクセスが妥当な経路であると考えられます。ドメイン侵害後、攻撃者はEntra IDと同期された管理者アカウントを作成し、VMware vSphereコンソールにアクセスして、仮想インフラストラクチャを完全に制御しました。
対策
同様のキャンペーンから防御するために、組織は以下の対策を講じるべきです。
- Velociraptorエージェントを最新の安全なバージョンに更新し、不正なインストールがないか監査する。
- CVE-2025-6264およびオンプレミスSharePointサーバー上の既知のToolShell脆弱性すべてにパッチを適用する。
- 信頼できないURLを指す`msiexec /q /i`コマンドによるインストールなど、予期せぬVelociraptorクライアントのアクティビティを監視する。
- 正当なVelociraptorアクティビティと悪意のあるアクティビティを区別できる堅牢なエンドポイント検出および対応(EDR)ソリューションを導入する。
- スケジュールされたタスク、グループポリシーの変更、PowerShellスクリプトの実行における異常なパターンを定期的にレビューし、侵害の初期兆候を特定する。