はじめに
脅威アクターが、デジタルフォレンジックおよびインシデントレスポンス(DFIR)ツールであるVelociraptorを、LockBitおよびBabukランサムウェア攻撃に利用し始めていることが判明しました。Cisco Talosの研究者たちは、このキャンペーンの背後に中国を拠点とする「Storm-2603」が関与していると中程度の確信度で評価しています。この動きは、正規のセキュリティツールが悪用される新たな傾向を示唆しており、企業や組織にとって新たな脅威となっています。
Velociraptorの悪用と脅威アクター
Velociraptorは、Mike Cohenによって開発されたオープンソースのDFIRツールであり、現在はRapid7がその強化版を提供しています。サイバーセキュリティ企業Sophosは8月26日に、ハッカーがVelociraptorをリモートアクセスに悪用していると報告していました。具体的には、脅威アクターはVelociraptorを悪用して、侵害されたホストにVisual Studio Codeをダウンロード・実行させ、コマンド&コントロール(C2)インフラとのセキュアな通信トンネルを確立していました。
ランサムウェア保護企業Halcyonは本日発表したレポートで、Storm-2603が中国の国家支援型アクターと関連しており、WarlockランサムウェアおよびCL-CRI-1040と同一グループであると評価しています。また、このグループはLockBitのアフィリエイトとしても活動していたとされています。
攻撃の詳細と永続化の手口
Cisco Talosによると、攻撃者はCVE-2025-6264として識別される特権昇格の脆弱性を持つ、古いバージョンのVelociraptor(バージョン0.73.4.0)を悪用しました。この脆弱性により、任意のコマンド実行とエンドポイントの乗っ取りが可能になります。
攻撃の初期段階では、脅威アクターはEntra IDに同期されたローカル管理者アカウントを作成し、これを利用してVMware vSphereコンソールにアクセスし、仮想マシン(VM)に対する永続的な制御を確立しました。研究者たちは、Velociraptorがホストが隔離された後も複数回起動され、攻撃者が永続性を維持するために利用されたことを確認しています。また、以下の手法も観測されました。
- Impacket smbexecスタイルのコマンドによるリモートプログラム実行。
- バッチスクリプト用のスケジュールされたタスクの作成。
- Active Directory GPOの変更によるDefenderリアルタイム保護の無効化。
- 挙動およびファイル/プログラム活動監視の停止。
使用されたランサムウェアと二重恐喝
エンドポイント検出・対応(EDR)ソリューションは、Windowsターゲットシステムに展開されたランサムウェアをLockBitとして特定しましたが、暗号化されたファイルの拡張子は「.xlockxlock」であり、これはWarlockランサムウェア攻撃で確認されているものです。VMware ESXiシステムでは、Babukランサムウェアとして検出されたLinuxバイナリが発見されました。
研究者たちは、Windowsマシンでの「大量暗号化」には、実行ごとにランダムなAESキーを生成するファイルレスPowerShell暗号化ツールが使用されたとみています。データ暗号化の前に、攻撃者は別のPowerShellスクリプトを使用してファイルを窃取し、二重恐喝を実行していました。このスクリプトは、サンドボックスや分析環境を回避するために「Start-Sleep」コマンドでアップロードアクション間に遅延を挿入する巧妙な手口を用いていました。
セキュリティ対策への示唆
Cisco Talosの研究者たちは、攻撃者が侵害されたマシンにアップロードしたファイルとVelociraptorファイルを含む、2組の侵害指標(IoCs)を提供しています。今回の事例は、正規のDFIRツールが悪用されるという新たな脅威の側面を浮き彫りにし、企業や組織がセキュリティ対策を再評価する必要があることを示唆しています。
最新のセキュリティパッチの適用、GPOの厳格な管理、そしてEDRソリューションによる監視強化が、このような高度な攻撃からシステムを保護するために不可欠です。