Storm-2603 滥用 Velociraptor

黑客正滥用开源数字取证与事件响应工具Velociraptor，开展勒索软件攻击。此类攻击疑似由黑客组织Storm-2603策划，该组织以部署Warlock与LockBit勒索软件闻名。

上月，网络安全公司Sophos记录下该黑客组织对这款安全工具的滥用行为。

据思科网络安全团队分析，攻击者首先利用SharePoint本地部署版本中的“ToolShell漏洞”获取初始访问权限，随后植入Velociraptor的旧版本（0.73.4.0版）；该版本存在权限提升漏洞（CVE-2025-6264），攻击者可借此实现“任意命令执行”，最终完全控制目标终端设备。

在2025年8月中旬的一起攻击事件中，黑客采取了多项关键行动：尝试创建“域管理员账户”以提升权限，在已入侵的网络环境中横向移动，并利用获取的权限运行Smbexec等工具，通过SMB协议远程启动程序。

研究发现，在窃取数据、植入Warlock、LockBit及Babuk三款勒索软件之前，黑客会先修改ActiveDirectory中的“组策略对象”（GPOs）、关闭实时防护功能以破坏系统防御机制，并采取手段躲避安全检测。此次发现也是首次证实Storm-2603与Babuk勒索软件的部署存在关联。

Velociraptor由Rapid7公司于2021年收购后负责维护。该公司此前向TheHackerNews表示，已注意到Velociraptor被滥用的情况；与其他安全工具及管理工具类似，这款工具若落入不法分子手中，也可能被用于恶意目的。

针对最新披露的攻击事件，Rapid7威胁分析高级总监ChristiaanBeek指出：“这种行为属于‘工具滥用’，而非软件本身存在漏洞。攻击者只是将原本用于合法数据收集与协同管理的功能，改造成了攻击手段。”

Storm-2603于2025年6月首次出现，此后将LockBit既用作攻击工具，也作为自身勒索软件的开发基础。值得注意的是，Warlock曾以“wlteaml”为名义，成为LockBit勒索软件联盟的最后一个附属成员，而一个月后，LockBit就遭遇了数据泄露事件。

Halcyon表示：“Warlock从一开始就计划部署多款勒索软件，目的是混淆攻击溯源、躲避检测，并加速扩大攻击影响。该组织展现出的纪律性、资源储备与访问能力，符合‘与国家相关联的威胁行为体’特征，而非opportunistic勒索软件团伙。”

Halcyon还指出，Storm-2603为勒索软件添加新功能的开发周期仅需48小时，这一特点反映出其团队具备结构化的工作流程。分析进一步称，这种集中化、有组织的项目架构，表明该团队拥有专用的基础设施与工具链。

对Storm-2603开发时间线的深入调查显示，该组织在2025年3月搭建了“AK47指挥控制（C2）框架”的基础设施，次月便完成了该工具的首个原型开发。同样在4月，该组织在48小时内实现了攻击策略转型：从“仅部署LockBit”转为“同时部署LockBit与Warlock”。

尽管Storm-2603随后以附属成员身份加入LockBit联盟，但其自主勒索软件的开发工作并未停止，最终于6月以“Warlock”为品牌正式推出。几周后，研究人员发现该组织将ToolShell漏洞作为零日漏洞利用，同时从2025年7月21日起开始部署Babuk勒索软件。

Halcyon评价道：“该组织在4月实现策略快速转型（48小时内从单一勒索软件转为多勒索软件部署），7月又加入Babuk部署——这一系列动作体现出其三大能力：运营灵活性、检测规避能力、溯源混淆战术，以及利用泄露开源勒索软件框架进行开发的专业技术水平。”

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；