Cisco Talos’taki güvenlik araştırmacıları, fidye yazılımı operatörlerinin saldırılarında açık kaynaklı bir dijital adli tıp ve olay müdahale (DFIR) aracı olan Velociraptor’dan aktif olarak yararlandıklarını doğruladı.
Bu, meşru bir güvenlik aracı ile fidye yazılımı olayı arasındaki ilk kesin bağlantıyı işaret ediyor. Üç ayrı fidye yazılımı türünün kullanıldığı kampanya, orta düzeyde bir güvenle tehdit aktörü Storm-2603’e atfediliyor.
Saldırı, kurbanın BT ortamını ciddi şekilde etkiledi; VMware ESXi sanal makinelerini ve Windows sunucularını Warlock, LockBit ve Babuk fidye yazılımını kullanarak şifreledi.
Velociraptor, güvenlik ekiplerinin uç nokta izleme ve veri toplama işlemlerini gerçekleştirmesi için tasarlandı, ancak bu kampanyada saldırganların gizli ve kalıcı erişimi sürdürmesine yardımcı olmada önemli bir rol oynadı.
Tehdit aktörleri, ilk girişi sağladıktan sonra Velociraptor’un (0.73.4.0) eski bir sürümünü yüklediler; bu sürüm, CVE-2025-6264 olarak izlenen bir ayrıcalık yükseltme hatasına karşı savunmasızdır.
Bu güvenlik açığı, keyfi komut yürütülmesine ve etkilenen uç noktanın tamamen ele geçirilmesine yol açabilir. Aktörler, tespit edilmeden LockBit ve Babuk fidye yazılımını dağıtmak için bu dayanağı kullandı.
Güvenilir güvenlik ürünlerinin bu şekilde kötüye kullanılması, saldırganların hedeflerine ulaşmak için ticari ve açık kaynaklı araçlardan giderek daha fazla yararlandığı Talos tarafından gözlemlenen daha geniş bir eğilimle uyumludur.
Cisco Talos, bu etkinliği, ilk olarak Temmuz 2025’te tespit edilen ve ToolShell olarak bilinen SharePoint güvenlik açıklarından yararlanan Çin merkezli şüpheli bir grup olan Storm-2603’e bağlıyor. İlişkilendirme, araçlar ve taktiklerdeki önemli örtüşmelere dayanmaktadır.
Storm-2603, aynı saldırıda hem Warlock hem de LockBit fidye yazılımını dağıtmasıyla biliniyor ve LockBit yaygın olsa da Warlock kullanımı güçlü bir gösterge çünkü Haziran 2025’te ortaya çıktığından bu yana bu grup tarafından yoğun bir şekilde kullanılıyor.
Üç farklı fidye yazılımı çeşidinin (Warlock, LockBit ve Babuk) tek bir etkileşimde devreye alınması oldukça sıra dışı bir durum ve Storm-2603 ile olan bağlantıyı güçlendiriyor. Ancak grubun daha önce Babuk’u kullandığı görülmemişti, TTP’lerin birleşimi onların yönünü işaret ediyordu.
Çok Yönlü Bir Saldırı Zinciri
İlk olarak Ağustos 2025’in ortasında tespit edilen saldırı, karmaşık bir olaylar zincirini içeriyordu. Aktör, ToolShell açıklarından yararlanarak muhtemelen ilk erişimi elde ettikten sonra, yeni yönetici hesapları oluşturarak ve bunları Entra ID ile senkronize ederek ayrıcalıkları artırdı.
Bu hesapları VMware vSphere konsoluna erişmek için kullandılar ve sanal ortam üzerinde kalıcı kontrol sağladılar.
Saldırganlar, savunmayı zayıflatmak için Active Directory Grup İlkesi Nesnelerini (GPO’lar) değiştirerek Microsoft Defender’ın gerçek zamanlı korumasını ve davranış izlemesini devre dışı bıraktı.
Dosyasız bir PowerShell betiği, Windows makinelerindeki son şifrelemeyi gerçekleştirirken, Babuk şifreleyicinin bir Linux ikili programı ESXi sunucularını hedef aldı.
Saldırı aynı zamanda, aktörlerin hassas verileri şifrelemeden önce sızdırmak için özel bir PowerShell komut dosyası kullandığı, ilerleme göstergelerini bastırmak ve analizi engellemek için uyku komutlarını kullanmak gibi algılamadan kaçınmak için teknikler kullandığı çift gasp bileşenini de içeriyordu.
| Gösterge Türü | Gösterge Değeri |
|---|---|
| C2/Sızıntı IP’si | 65.38.121[.]226 |
| Kötü Amaçlı MSI Etki Alanı | stoaccinfoniqaveeambkp.blob.core.windows[.]açık |
| Velociraptor C2 Sunucusu | velo.qaubctgg.workers[.]geliştirici |
| Velociraptor Yükleyici SHA256 | 649BDAA38E60EDE6D140BD54CA5412F1091186A803D3905465219053393F6421 |
| Velociraptor.exe SHA256 | 12F177290A299BAE8A363F47775FB99F305BBDD56BBDFDDDB39595B43112F9FB7 |
| Kötü amaçlı config.yaml SHA256 | A29125333AD72138D299CC9EF09718DDB417C3485F6B8FE05BA88A08BB0E5023 |
| In.exe (NTLM Sürüm Düşürme Aracı) SHA256 | C74897B1E986E2876873ABB3B5069BF1B103667F7F0E6B4581FBDA3FD647A74A |
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
