概要
脅威アクターが、正当なオープンソースのデジタルフォレンジックおよびインシデントレスポンス(DFIR)ツールであるVelociraptorを悪用し、コマンド&コントロール(C2)インフラストラクチャを確立し、ランサムウェア攻撃を実行していることが判明しました。Huntressのアナリストは、2025年9月から11月にかけて発生した複数のインシデントを文書化しており、攻撃者が重要な脆弱性を悪用して初期アクセスを確立した後、Velociraptorを永続的なリモートアクセスおよび水平移動のために展開していました。この傾向は、攻撃戦術の高度化を示しており、脅威アクターが信頼されたセキュリティツールを悪用して検出を回避していることを浮き彫りにしています。
初期アクセスと悪用手法
文書化された3つのインシデントは異なる侵入経路を利用していましたが、いずれもVelociraptorの展開に至りました。
- ToolShell脆弱性チェーン(SharePoint): 2件のインシデントでは、CVE-2025-49706とCVE-2025-49704を組み合わせたToolShell脆弱性チェーンが悪用され、認証なしでリモートコード実行が達成されました。
- WSUSの悪用: 別のインシデントでは、WSUS(Windows Server Update Services)がCVE-2025-59287を介して悪用され、悪意のあるMSIパッケージが配信されました。これは、見落とされがちな管理インフラストラクチャが広範囲な侵害のベクトルとなり得ることを示しています。
特に、SharePointを標的としたインシデントでは、以前に発生したToolShellの悪用がパッチ適用されなかったために、攻撃者はウェブシェルを確立し、VelociraptorをSYSTEM権限でWindowsサービスとしてインストールすることに成功しました。
攻撃後の戦術とツールの悪用
Velociraptorが確立されると、脅威アクターはVelociraptorインスタンスを攻撃者によって制御されるCloudflareトンネルエンドポイントと通信するように設定しました。複数のインシデントで同様のインフラストラクチャの重複が見られ、脅威グループ間の調整や共有された運用インフラストラクチャの可能性が示唆されています。
- VS Codeの悪用: 注目すべきは、攻撃者がVisual Studio Code(code.exe)をリモートトンネルサービスとして繰り返し展開したことです。VS Codeの正当なトンネル機能を利用することで、攻撃者は認証された管理アクセスを装いながら、二次的なC2チャネルを確立しました。VS Codeはデジタル署名されており、信頼されたクラウドサービスを介して動作するため、検出が非常に困難でした。
- オペレーションのミス: Warlockランサムウェアのインシデントでは、攻撃者の運用セキュリティにいくつかの失敗が見られました。例えば、標的のエンドポイントにインストールされていないOpenSSHサーバーを起動しようとしたり、
netコマンドで新しいユーザーアカウントを作成する際に重要な「/add」フラグを忘れがちだったりしました。これらのエラーは、経験の浅いオペレーターか、時間的制約の下で作業していることを示唆しています。
しかし、インフラストラクチャの分析からは、複数の無関係な攻撃で同じMSIダウンロードドメインや、異なるインシデントクラスターを接続する同一のCloudflareトンネルトークンなど、著しい重複が明らかになっています。これらのつながりは、脅威グループ間で共有されているツールキットか、共通の攻撃インフラストラクチャを利用しているオペレーター間の連携を強く示唆しています。