Tin tặc biến Velociraptor DFIR thành vũ khí trong tấn công ransomware LockBit

[Starlink]

Các tác nhân đe dọa đang lạm dụng Velociraptor, một công cụ giám định kỹ thuật số và ứng phó sự cố (DFIR) nguồn mở, liên quan đến các cuộc tấn công ransomware có khả năng được dàn dựng bởi Storm-2603 (hay còn gọi là CL-CRI-1040 hoặc Gold Salem), được biết đến với việc triển khai ransomware Warlock và LockBit.

Việc kẻ tấn công sử dụng tiện ích bảo mật này đã được Sophos ghi nhận vào tháng trước. Theo Cisco Talos, kẻ tấn công đã lợi dụng lỗ hổng bảo mật ToolShell của SharePoint tại chỗ để chiếm quyền truy cập ban đầu và triển khai phiên bản Velociraptor lỗi thời (phiên bản 0.73.4.0) dễ bị tấn công bởi lỗ hổng leo thang đặc quyền ( CVE -2025-6264 ) để thực thi lệnh tùy ý và chiếm quyền kiểm soát điểm cuối.

Trong cuộc tấn công vào giữa tháng 8 năm 2025, những kẻ đe dọa được cho là đã cố gắng leo thang đặc quyền bằng cách tạo tài khoản quản trị miền và di chuyển ngang trong môi trường bị xâm phạm, cũng như tận dụng quyền truy cập để chạy các công cụ như Smbexec để khởi chạy chương trình từ xa bằng giao thức SMB.

Trước khi đánh cắp dữ liệu và thả Warlock, LockBit và Babuk, kẻ tấn công đã bị phát hiện sửa đổi các Đối tượng Chính sách Nhóm (GPO) của Active Directory (AD), tắt tính năng bảo vệ thời gian thực để can thiệp vào hệ thống phòng thủ và tránh bị phát hiện. Những phát hiện này đánh dấu lần đầu tiên Storm-2603 được liên kết với việc triển khai ransomware Babuk.

Rapid7, công ty duy trì Velociraptor sau khi mua lại vào năm 2021, trước đây đã nói với The Hacker News rằng họ nhận thức được việc sử dụng sai mục đích công cụ này và công cụ này cũng có thể bị lạm dụng khi rơi vào tay kẻ xấu, giống như các công cụ bảo mật và quản trị khác.

Christiaan Beek, giám đốc cấp cao về phân tích mối đe dọa của Rapid7, cho biết : "Hành vi này phản ánh một kiểu sử dụng sai mục đích hơn là một lỗi phần mềm: kẻ thù chỉ đơn giản là sử dụng lại các khả năng thu thập và điều phối hợp pháp" để phản hồi lại các cuộc tấn công mới nhất được báo cáo.

Theo Halcyon, Storm-2603 được cho là có một số mối liên hệ với các tác nhân quốc gia Trung Quốc do có khả năng truy cập sớm vào lỗ hổng ToolShell và xuất hiện các mẫu mới thể hiện các hoạt động phát triển chuyên nghiệp phù hợp với các nhóm tin tặc tinh vi.

Nhóm ransomware, xuất hiện lần đầu vào tháng 6 năm 2025, kể từ đó đã sử dụng LockBit làm cả công cụ vận hành lẫn nền tảng phát triển. Cần lưu ý rằng Warlock là chi nhánh cuối cùng được đăng ký với hệ thống LockBit dưới tên "wlteaml" trước khi LockBit bị rò rỉ dữ liệu một tháng trước đó.

"Ngay từ đầu, Warlock đã lên kế hoạch triển khai nhiều nhóm ransomware để gây nhầm lẫn, tránh bị phát hiện và đẩy nhanh tác động", công ty cho biết. "Warlock thể hiện tính kỷ luật, nguồn lực và khả năng tiếp cận đặc trưng của các tác nhân đe dọa liên kết với chính phủ quốc gia, chứ không phải là các nhóm ransomware cơ hội."

Halcyon cũng chỉ ra chu kỳ phát triển 48 giờ của tác nhân đe dọa để bổ sung tính năng, phản ánh quy trình làm việc nhóm có cấu trúc. Cơ cấu dự án tập trung, có tổ chức này cho thấy một nhóm có cơ sở hạ tầng và công cụ chuyên dụng, Halcyon nói thêm.

Những khía cạnh đáng chú ý khác cho thấy mối liên hệ với các tác nhân được nhà nước Trung Quốc tài trợ bao gồm -

    Sử dụng các biện pháp bảo mật hoạt động (OPSEC), chẳng hạn như xóa dấu thời gian và cố tình làm hỏng cơ chế hết hạn
    Biên soạn các phần mềm tống tiền vào lúc 22:58-22:59 Giờ chuẩn Trung Quốc và đóng gói chúng vào trình cài đặt độc hại vào lúc 01:55 sáng hôm sau
    Thông tin liên hệ nhất quán và các tên miền được chia sẻ, viết sai chính tả trên các triển khai Warlock, LockBit và Babuk, cho thấy các hoạt động chỉ huy và kiểm soát (C2) gắn kết chứ không phải việc tái sử dụng cơ sở hạ tầng theo cơ hội

Việc xem xét sâu hơn về tiến trình phát triển của Storm-2603 đã phát hiện ra rằng tác nhân đe dọa này đã thiết lập cơ sở hạ tầng cho nền tảng AK47 C2 vào tháng 3 năm 2025, sau đó tạo ra nguyên mẫu đầu tiên của công cụ này vào tháng tiếp theo. Vào tháng 4, nó cũng đã chuyển từ triển khai chỉ LockBit sang triển khai LockBit/Warlock kép trong vòng 48 giờ.

Mặc dù sau đó đã đăng ký là chi nhánh của LockBit, công việc vẫn tiếp tục với ransomware riêng cho đến khi chính thức ra mắt dưới thương hiệu Warlock vào tháng 6. Vài tuần sau, kẻ tấn công bị phát hiện đã lợi dụng lỗ hổng ToolShell làm lỗ hổng zero-day, đồng thời triển khai ransomware Babuk bắt đầu từ ngày 21 tháng 7 năm 2025.

Halcyon cho biết: "Sự phát triển nhanh chóng của nhóm vào tháng 4 từ triển khai chỉ LockBit 3.0 sang triển khai nhiều ransomware 48 giờ sau đó, tiếp theo là triển khai Babuk vào tháng 7, cho thấy tính linh hoạt trong hoạt động, khả năng trốn tránh phát hiện, chiến thuật gây nhầm lẫn và chuyên môn xây dựng tinh vi bằng cách sử dụng các khuôn khổ ransomware bị rò rỉ và mã nguồn mở".