HackerNews 编译,转载请注明出处:
黑客正滥用开源数字取证与事件响应工具Velociraptor,开展勒索软件攻击。此类攻击疑似由黑客组织Storm-2603策划,该组织以部署Warlock与LockBit勒索软件闻名。
上月,网络安全公司Sophos记录下该黑客组织对这款安全工具的滥用行为。
据思科网络安全团队分析,攻击者首先利用SharePoint本地部署版本中的“ToolShell漏洞”获取初始访问权限,随后植入Velociraptor的旧版本(0.73.4.0版);该版本存在权限提升漏洞(CVE-2025-6264),攻击者可借此实现“任意命令执行”,最终完全控制目标终端设备。
在2025年8月中旬的一起攻击事件中,黑客采取了多项关键行动:尝试创建“域管理员账户”以提升权限,在已入侵的网络环境中横向移动,并利用获取的权限运行Smbexec等工具,通过SMB协议远程启动程序。
研究发现,在窃取数据、植入Warlock、LockBit及Babuk三款勒索软件之前,黑客会先修改ActiveDirectory中的“组策略对象”(GPOs)、关闭实时防护功能以破坏系统防御机制,并采取手段躲避安全检测。此次发现也是首次证实Storm-2603与Babuk勒索软件的部署存在关联。
Velociraptor由Rapid7公司于2021年收购后负责维护。该公司此前向TheHackerNews表示,已注意到Velociraptor被滥用的情况;与其他安全工具及管理工具类似,这款工具若落入不法分子手中,也可能被用于恶意目的。
针对最新披露的攻击事件,Rapid7威胁分析高级总监ChristiaanBeek指出:“这种行为属于‘工具滥用’,而非软件本身存在漏洞。攻击者只是将原本用于合法数据收集与协同管理的功能,改造成了攻击手段。”
Storm-2603于2025年6月首次出现,此后将LockBit既用作攻击工具,也作为自身勒索软件的开发基础。值得注意的是,Warlock曾以“wlteaml”为名义,成为LockBit勒索软件联盟的最后一个附属成员,而一个月后,LockBit就遭遇了数据泄露事件。
Halcyon表示:“Warlock从一开始就计划部署多款勒索软件,目的是混淆攻击溯源、躲避检测,并加速扩大攻击影响。该组织展现出的纪律性、资源储备与访问能力,符合‘与国家相关联的威胁行为体’特征,而非opportunistic勒索软件团伙。”
Halcyon还指出,Storm-2603为勒索软件添加新功能的开发周期仅需48小时,这一特点反映出其团队具备结构化的工作流程。分析进一步称,这种集中化、有组织的项目架构,表明该团队拥有专用的基础设施与工具链。
对Storm-2603开发时间线的深入调查显示,该组织在2025年3月搭建了“AK47指挥控制(C2)框架”的基础设施,次月便完成了该工具的首个原型开发。同样在4月,该组织在48小时内实现了攻击策略转型:从“仅部署LockBit”转为“同时部署LockBit与Warlock”。
尽管Storm-2603随后以附属成员身份加入LockBit联盟,但其自主勒索软件的开发工作并未停止,最终于6月以“Warlock”为品牌正式推出。几周后,研究人员发现该组织将ToolShell漏洞作为零日漏洞利用,同时从2025年7月21日起开始部署Babuk勒索软件。
Halcyon评价道:“该组织在4月实现策略快速转型(48小时内从单一勒索软件转为多勒索软件部署),7月又加入Babuk部署——这一系列动作体现出其三大能力:运营灵活性、检测规避能力、溯源混淆战术,以及利用泄露开源勒索软件框架进行开发的专业技术水平。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
