Tehdit aktörleri, LockBit ve Babuk fidye yazılımını dağıtan saldırılarda Velociraptor dijital adli tıp ve olay müdahale (DFIR) aracını kullanmaya başladı.
Cisco Talos araştırmacıları, kampanyaların arkasındaki saldırganın Storm-2603 olarak takip edilen Çin merkezli bir düşman olduğunu orta düzeyde bir güvenle değerlendiriyor.
Velociraptor, Mike Cohen tarafından oluşturulan açık kaynaklı bir DFIR aracıdır. Proje, müşterilerine gelişmiş bir versiyon sunan Rapid7 tarafından satın alındı.
Siber güvenlik şirketi Sophos, 26 Ağustos’ta bilgisayar korsanlarının uzaktan erişim için Velociraptor’u kötüye kullandığını bildirdi. Özellikle tehdit aktörleri, güvenliği ihlal edilmiş ana bilgisayarlarda Visual Studio Code’u indirip yürütmek için bundan yararlandı ve komuta ve kontrol (C2) altyapısıyla güvenli bir iletişim tüneli oluşturdu.
Bugün erken saatlerde yayınlanan bir raporda, fidye yazılımı koruma şirketi Halcyon, Storm-2603’ün Çin ulus devlet aktörleriyle bağlantılı olduğunu, Warlock fidye yazılımı ve CL-CRI-1040 ile aynı grup olduğunu ve LockBit üyesi olarak hareket ettiğini değerlendiriyor.
Gizli kalıcı erişim
Cisco Talos, saldırganın, CVE-2025-6264 olarak tanımlanan bir ayrıcalık yükseltme güvenlik sorununa karşı savunmasız olan ve keyfi komut yürütülmesine ve ana bilgisayarın kontrolünü ele geçirmesine izin verebilecek eski bir Velociraptor sürümü kullandığını söylüyor.
Saldırının ilk aşamasında tehdit aktörü, Entra ID ile senkronize edilen yerel yönetici hesapları oluşturdu ve bunları VMware vSphere konsoluna erişmek için kullanarak sanal makineler (VM’ler) üzerinde kalıcı kontrol sağladı.
Cisco Talos şöyle açıklıyor: “İlk erişim elde edildikten sonra aktörler Velociraptor’un eski bir sürümünü (sürüm 0.73.4.0) yüklediler; bu sürüm, keyfi komut yürütmeye ve uç noktanın ele geçirilmesine yol açabilecek bir ayrıcalık yükseltme güvenlik açığına (CVE-2025-6264) maruz kaldı.”
Araştırmacılar, Velociraptor’un, sunucu izole edildikten sonra bile birden çok kez başlatarak saldırganların kararlılığını sürdürmesine yardımcı olduğunu belirtti.
Ayrıca programları uzaktan çalıştırmak için Impacket smbexec tarzı komutların yürütülmesini ve toplu komut dosyaları için zamanlanmış görevlerin oluşturulmasını da gözlemlediler.
Saldırganlar, Active Directory GPO’larını değiştirerek Defender’ın gerçek zamanlı korumasını devre dışı bıraktı ve davranış ile dosya/program etkinliği izlemeyi kapattı.
Uç nokta algılama ve yanıt (EDR) çözümleri, Windows hedef sistemlerine dağıtılan fidye yazılımını LockBit olarak tanımladı ancak şifrelenmiş dosyaların uzantısı, Warlock fidye yazılımı saldırılarında görülen “.xlockxlock” idi.
Araştırmacılar, VMware ESXi sistemlerinde Babuk fidye yazılımı olduğu tespit edilen bir Linux ikili programı buldu.
Cisco Talos araştırmacıları ayrıca, çalıştırma başına rastgele AES anahtarları üreten dosyasız bir PowerShell şifreleyicisinin kullanımını da gözlemledi; bunun “Windows makinelerinde toplu şifreleme” için ana araç olduğuna inanılıyor.
Saldırgan, verileri şifrelemeden önce, çifte gasp amacıyla dosyaları sızdırmak için başka bir PowerShell betiği kullandı. Komut dosyası, korumalı alan ve analiz ortamlarından kaçınmak amacıyla yükleme eylemleri arasına gecikmeler eklemek için ‘Başlat-Uyku’yu kullanır.
Cisco Talos araştırmacıları, saldırılarda gözlemlenen, tehdit aktörünün ele geçirilen makinelere yüklediği dosyalar ve Velociraptor dosyalarını içeren iki dizi güvenlik ihlali göstergesi (IoC) sağlıyor.
Katılın İhlal ve Saldırı Simülasyon Zirvesi ve deneyimleyin güvenlik doğrulamanın geleceği. En iyi uzmanlardan bilgi alın ve nasıl olduğunu görün Yapay zeka destekli BAS ihlal ve saldırı simülasyonunu dönüştürüyor.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın