Cisco Talos 研究人員在 8 月的攻擊事件中發現,
中國駭客組織 Storm-2603 在受害組織的 VMware ESXi 伺服器上部署了三種勒索軟體:Warlock、LockBit 和 Babuk,造成嚴重破壞。而這是該組織首次被確認使用 Velociraptor 工具。
防禦工具反遭駭客利用
Velociraptor 原本是資安研究員 Michael Cohen 設計的開源專案,於 2021 年被資安業者 Rapid7 收購,用於協助事件回應團隊進行端點監控與調查。然而駭客將這項防禦工具反向利用,藉此隱藏惡意活動並維持對受害網路的持續存取權限。
研究人員發現,駭客安裝存在權限提升漏洞 CVE-2025-6264 過時的 Velociraptor 版本(0.73.4.0),可導致任意命令執行和端點接管。根據 Sophos 研究,最早的濫用案例可追溯至 8 月 5 日。
Storm-2603 的攻擊手法演進
Storm-2603 在 7 月首次因利用
SharePoint 漏洞受到關注,該攻擊鏈被稱為「ToolShell」。攻擊者入侵 SharePoint 伺服器後進行橫向移動,最終部署 Warlock 勒索軟體。在後續攻擊中,駭客集團轉而使用 Velociraptor 來隱密維持存取權限。
Sophos CTU 研究人員發現,攻擊者會下載 Velociraptor 執行檔,並在設定檔中指定命令與控制伺服器(C2 server)。部署後,他們利用 Velociraptor 與 C2 伺服器建立通訊、下載額外檔案並執行命令。攻擊者特別鎖定 Microsoft SharePoint 伺服器,透過 Msiexec 命令列工具來安裝 Velociraptor。
延伸閱讀:Storm-2603駭客組織部署AK47 C2框架 同時散布雙重勒索軟體
合法工具濫用趨勢加劇
Sophos CTU 研究人員指出,Velociraptor 濫用案例顯示威脅行為者正轉向使用事件回應工具,在受害網路中建立持久據點。Cisco Talos 的 2024 年度報告也證實這項趨勢:
駭客越來越常濫用合法的商業和開源產品發動攻擊。
Rapid7 資安分析總監 Christiaan Beek 指出,這種現象反映的是濫用模式而非軟體缺陷,攻擊者只是重新利用合法的資料收集和編排功能。
防護建議
資安團隊應採取以下措施防範 Velociraptor 濫用:
- 檢查環境中的 Velociraptor 實例是否為合法部署
- 分析端點日誌,查找與「velociraptor.exe」相關的新建服務或排程任務
- 限制執行任何來源不明的 Velociraptor 執行檔
Rapid7 指出,Velociraptor 在設計上會產生「易於偵測」的入侵指標(IoCs)。雖然駭客可修改開源版本來移除這些指標,但修改後的執行檔將是未簽章或由其他實體簽章,應列為可疑檔案。
本文轉載自 DarkReading。