駭客濫用資安工具從事網路攻擊的情況,最常見的莫過於滲透測試工具Cobalt Strike,現在他們使用其他能公開取得、功能更強大的開源工具來達到目的。
例如,思科威脅情報團隊Talos發現,今年8月中國駭客Storm-2603發動一波勒索軟體攻擊,鎖定受害企業的Windows伺服器與虛擬化環境VMware ESXi,運用3種勒索軟體Warlock、LockBit,以及Babuk來加密檔案,但特別之處在於,過程中,他們濫用開源數位鑑識與事件回應(DFIR)工具Velociraptor,來建立持續存取受害組織網路環境的管道。
Velociraptor為何受到這批攻擊者的青睞?這套工具起初由資安專家Mike Cohen開發,後來在2021年被資安業者Rapid7買下,並在威脅情報平臺Insight整合相關功能,當時Mike Cohen也加入了Rapid7偵測與回應團隊,繼續維護Velociraptor並擴展該工具的用戶社群。
Storm-2603如何取得受害企業的初始存取管道?Talos推測,這些駭客曾在一個月前利用SharePoint零時差漏洞ToolShell(CVE-2025-53770)從事勒索軟體活動,因此很有可能利用此漏洞而得逞。
這起事故之所以被Talos察覺,第一個跡象源自8月中旬Storm-2603試圖提升權限並進行橫向移動,他們看到駭客建立了管理員帳號,從網域控制器同步到Entra ID(Azure AD),該管理帳號也被用於存取VMware vSphere主控臺。
這些駭客用於建立存取管道的Velociraptor,並非最新版本,而是存在已知漏洞CVE-2025-6264(CVSS風險評為5.5分)的0.73.4.0版,此為權限提升漏洞,攻擊者有機會以此執行任何程式碼,並挾持端點。
為了讓活動順利進行,Storm-2603竄改了AD的群組原則物件(GPO),關閉電腦防毒軟體Microsoft Defender的即時防護、行為監控,以及監控電腦檔案與應用程式活動的功能,最終部署勒索軟體加密檔案。
濫用Velociraptor的情況先前曾發生,Storm-2603這次活動並非首例,資安業者Sophos在今年8月發現,有人濫用該數位鑑識與事件回應工具,並試圖執行Visual Studio Code(VS Code),目的疑為建立用於C2通訊的隧道。
熱門新聞
2025-12-12
2025-12-16
2025-12-15
2025-12-15
2025-12-15
2025-12-15
2025-12-16
2025-12-15