กลุ่มผู้โจมตีได้เริ่มใช้เครื่องมือ Velociraptor ซึ่งเป็นเครื่องมือด้าน digital forensics และ incident response (DFIR) ในการโจมตีเพื่อแพร่กระจายแรนซัมแวร์ LockBit และ Babuk
นักวิจัยจาก Cisco Talos ได้ประเมินด้วยความเชื่อมั่นระดับปานกลางว่า ผู้โจมตีที่อยู่เบื้องหลังแคมเปญเหล่านี้คือกลุ่มผู้ไม่หวังดีที่อยู่ในประเทศจีน และถูกติดตามภายใต้ชื่อ Storm-2603
Velociraptor เป็นเครื่องมือ DFIR แบบ open-source ที่พัฒนาโดย Mike Cohen ปัจจุบันโครงการนี้ถูกซื้อกิจการไปโดยบริษัท Rapid7 ซึ่งได้ให้บริการเวอร์ชันที่มีการปรับปรุงแล้วแก่ลูกค้า
Sophos รายงานเมื่อวันที่ 26 สิงหาคมว่า แฮ็กเกอร์ได้ใช้เครื่องมือ Velociraptor ในการเข้าถึงจากระยะไกล โดยเฉพาะ กลุ่มผู้ไม่หวังดีได้ใช้มันเพื่อดาวน์โหลด และรันโปรแกรม Visual Studio Code บนเครื่อง host ที่ถูกโจมตีแล้ว เพื่อสร้างช่องทางการเชื่อมต่ออย่างปลอดภัยกับ C2 servers
ในรายงานที่เผยแพร่เมื่อวันที่ 9 ตุลาคมที่ผ่านมา บริษัท Halcyon ซึ่งเป็นผู้เชี่ยวชาญด้านการป้องกัน ransomware ประเมินว่า กลุ่ม Storm-2603 ซึ่งมีความเชื่อมโยงกับกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีน โดยเป็นกลุ่มเดียวกับ Warlock ransomware และกลุ่ม CL-CRI-1040 และเคยเป็นพันธมิตรของกลุ่ม LockBit อีกด้วย
การแฝงตัวอยู่ในระบบที่ถูกโจมตี
Cisco Talos ระบุว่า กลุ่มผู้ไม่หวังดีได้ใช้ Velociraptor เวอร์ชันเก่าที่มีช่องโหว่ด้านความปลอดภัยในการยกระดับสิทธิ์ และมีหมายเลข CVE-2025-6264 โดยช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้ตามที่ต้องการ และเข้าควบคุมเครื่อง host ได้ในที่สุด
ในขั้นตอนแรกของการโจมตี ผู้โจมตีจะสร้างบัญชีผู้ดูแลระบบ (admin) บนเครื่อง โดยจะถูกซิงค์เข้ากับ Entra ID และใช้บัญชีเหล่านั้นเพื่อเข้าถึง VMware vSphere console ทำให้ผู้โจมตีสามารถควบคุม virtual machines (VMs) ได้อย่างต่อเนื่อง
Cisco Talos ระบุว่า "หลังจากเข้าถึงระบบได้แล้ว ผู้โจมตีจะติดตั้ง Velociraptor เวอร์ชันเก่า (เวอร์ชัน 0.73.4.0) ที่มีช่องโหว่ในการยกระดับสิทธิ์ (CVE-2025-6264) ซึ่งอาจนำไปสู่การเรียกใช้โค้ดได้ตามที่ต้องการ และสามารถเข้าควบคุมเครื่อง endpoint ได้"
นักวิจัยระบุว่า Velociraptor ช่วยให้ผู้โจมตีสามารถสร้างช่องทางการเข้าถึงระบบไว้ได้ โดยมีการสั่งรันโปรแกรมหลายครั้ง แม้ว่าเครื่องโฮสต์นั้นจะถูกแยกออกจากเครือข่ายแล้วก็ตาม
นอกจากนี้ นักวิจัยยังตรวจพบการรันคำสั่งในรูปแบบ smbexec ของ Impacket เพื่อสั่งรันโปรแกรมจากระยะไกล และการสร้าง Scheduled Tasks สำหรับไฟล์ Batch Script
ผู้โจมตีได้ปิดการป้องกันแบบ real-time ของ Microsoft Defender ด้วยการแก้ไข Group Policy Objects (GPOs) ใน Active Directory และยังปิดฟังก์ชันการเฝ้าระวังพฤติกรรม และการทำงานของไฟล์ หรือโปรแกรมอีกด้วย
Endpoint detection and response (EDR) ระบุว่า ransomware ที่ถูกปล่อยบนระบบ Windows ของเป้าหมายคือ LockBit แต่นามสกุลของไฟล์ที่ถูกเข้ารหัสกลับเป็น “.xlockxlock” ซึ่งเป็นนามสกุลที่พบในการโจมตีของ Warlock ransomware
บนระบบ VMware ESXi นักวิจัยได้พบไฟล์ไบนารีของ Linux ไฟล์หนึ่ง ที่ถูกตรวจจับว่าเป็น Babuk ransomware
นักวิจัยจาก Cisco Talos ยังตรวจพบอีกว่ามีการใช้สคริปต์ PowerShell เข้ารหัสแบบ fileless ซึ่งจะสร้างคีย์ AES แบบสุ่มขึ้นมาใหม่ทุกครั้งที่ทำงาน และเชื่อว่าเป็นเครื่องมือหลักสำหรับ "การเข้ารหัสข้อมูลจำนวนมากบนเครื่อง Windows"
ก่อนที่จะเข้ารหัสข้อมูล ผู้โจมตีได้ใช้สคริปต์ PowerShell อีกตัวหนึ่งเพื่อขโมยข้อมูลออกไปสำหรับใช้ในการขู่เรียกค่าไถ่ โดยสคริปต์ดังกล่าวใช้คำสั่ง ‘Start-Sleep’ เพื่อหน่วงเวลาระหว่างการอัปโหลดไฟล์ในแต่ละครั้ง เพื่อหลบเลี่ยงการตรวจจับจากสภาพแวดล้อมแบบ Sandbox และระบบการวิเคราะห์ต่าง ๆ
นักวิจัยจาก Cisco Talos ได้เผยแพร่ข้อมูล indicators of compromise (IoCs) ที่ตรวจพบในการโจมตีครั้งนี้ ซึ่งประกอบด้วยไฟล์ที่ผู้ไม่หวังดีอัปโหลดไปยังเครื่องที่ถูกโจมตี และไฟล์ต่าง ๆ ที่เกี่ยวข้องกับ Velociraptor
ที่มา : www.bleepingcomputer.com
You must be logged in to post a comment.