Cisco Talos, fidye yazılımı operatörlerinin artık gizli, kalıcı erişim elde etmek ve kurumsal ortamlara karşı birden fazla fidye yazılımı çeşidini dağıtmak için açık kaynaklı bir dijital adli tıp ve olay müdahale (DFIR) aracı olan Velociraptor’dan yararlandığını doğruladı.
Bu, Velociraptor ile fidye yazılımı operasyonları arasındaki ilk kesin bağlantıyı işaret ediyor ve tehdit aktörlerinin yasal güvenlik yazılımlarını kendi taktik kitaplarına nasıl dahil ettiklerine dair bir değişikliğin altını çiziyor.
Velociraptor, hafif istemci aracılarını dağıtarak Windows, Linux ve macOS sistemlerinde sürekli uç nokta izleme sağlamak üzere tasarlanmıştır.
Gözlemlenen kampanyada, saldırganlar, SİSTEM olarak rastgele komutları yürütmek için bir ayrıcalık yükseltme güvenlik açığından (CVE-2025-6264) yararlanarak, tehlikeye atılmış ana bilgisayarlara Velociraptor’un eski bir sürümünü (v0.73.4.0) yükledi.
Bu savunmasız sürüm, aktörlerin, ana bilgisayarlar siber güvenlik ekipleri tarafından izole edildikten sonra bile uzun vadeli, gizli erişimi sürdürmelerine olanak sağladı.
Saldırganlar, Velociraptor’ı alarmları tetiklemeden dağıtarak keşif komutlarını yürüttüler, zamanlanmış görevleri değiştirdiler ve tespit edilmekten kaçınmak için kritik Microsoft Defender özelliklerini devre dışı bıraktılar.
Çok Yönlü Fidye Yazılımı Dağıtımı
İlk erişimin ardından tehdit aktörleri, VMware ESXi sanal makineleri ve Windows sunucuları üzerinde Warlock, LockBit ve Babuk fidye yazılımının bir kombinasyonunu dağıttı.
Haziran 2025’te ortaya çıkan ve Storm-2603 ile yakından ilişkilendirilen Warlock fidye yazılımı, şifrelenmiş dosyalara “.xlockxlock” uzantısını ekledi.
Eş zamanlı olarak, bir Babuk ikili programı ESXi ana bilgisayarlarını hedef alarak kısmen şifrelenmiş dosyalara “.babyk” ifadesini ekledi. Tek bir kampanyada iki farklı fidye yazılımı ailesinin kullanılması alışılmadık bir durum ve saldırıyı Storm-2603’ün düzenlediğine dair güveni artırıyor.
Saldırganlar, hassas verileri çifte gasp amacıyla sızdırmak için, 50 MB’ın altındaki Office belgelerini yinelemeli olarak toplayan bir PowerShell betiği çalıştırdı ve ardından bunları HTTP PUT istekleri aracılığıyla uzak bir sunucuya yükledi.
Komut dosyası, ayarlayarak ilerleme çıktısını bastırdı $ProgressPreference="SilentlyContinue" Sandbox analizini engellemek ve güvenlik uyarılarından kaçınmak için rastgele uyku aralıkları kullandık.
Talos, bu kampanyayı, ilk kez Temmuz 2025’te SharePoint ToolShell güvenlik açıklarını kötüye kullandığı tespit edilen Çin merkezli tehdit aktörü Storm-2603’e orta düzeyde bir güvenle bağlıyor.
Göstergeler, cmd.exe toplu komut dosyalarının kullanımı, zamanlanmış görevler, kötü amaçlı .NET derlemelerini yüklemek için IIS bileşeni manipülasyonu ve Grup İlkesi Nesnesi değişiklikleri gibi örtüşen TTP’leri ve hem Warlock hem de LockBit fidye yazılımının dağıtımını içerir.
Babuk daha önce Storm-2603 tarafından konuşlandırılmamış olsa da, ESXi sistemlerindeki varlığı, fidye yazılımı grupları arasında operasyonel deneyler veya araç paylaşımı yapıldığını gösteriyor.
İlk izinsiz girişin sınırlı görünürlüğü, ToolShell kullanımının doğrudan gözlemlenmesini engelledi. Ancak kurbanın SharePoint sunucularının bu güvenlik açıklarına karşı yama yapılmadığı biliniyordu ve bu da ToolShell aracılığıyla ilk erişimi makul bir vektör haline getiriyordu.
Etki alanının ele geçirilmesinin ardından saldırganlar, Entra ID ile senkronize edilmiş yönetici hesapları oluşturdu ve VMware vSphere konsoluna erişerek sanal altyapı üzerinde tam kontrol sağladı.
Azaltmalar
Benzer kampanyalara karşı savunma yapmak için kuruluşlar, Velociraptor aracılarının en son güvenli sürümlere güncellendiğinden ve yetkisiz kurulumlara karşı denetlendiğinden emin olmalıdır.
Şirket içi SharePoint sunucularında CVE-2025-6264’e ve bilinen tüm ToolShell güvenlik açıklarına yama uygulanması kritik öneme sahiptir.
Güvenlik ekipleri beklenmedik Velociraptor istemci etkinliğini, özellikle de aracılığıyla başlatılan kurulumları izlemelidir. msiexec /q /i güvenilmeyen URL’lere işaret eden komutlar.
Yasal ve kötü niyetli Velociraptor etkinliğini ayırt edebilecek güçlü uç nokta algılama ve yanıt çözümlerinin uygulanması çok önemlidir.
Zamanlanmış görevleri, Grup İlkesi değişikliklerini ve PowerShell betiği yürütmelerini anormal kalıplar açısından düzenli olarak gözden geçirmek, güvenlik ihlalinin erken belirtilerini tespit etmeye yardımcı olacaktır.
Daha fazla rehberlik için Cisco Talos’un Ransomware Primer ve ToolShell yama önerilerinin yanı sıra Velociraptor’un kötüye kullanımını tespit etmeye yönelik topluluk kaynaklarına bakın.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.