【安全资讯】黑客滥用Velociraptor取证工具部署LockBit和Babuk勒索软件

概要：

网络安全领域出现令人担忧的新趋势，黑客开始滥用本用于防御的数字取证与事件响应工具Velociraptor，在攻击中部署LockBit和Babuk勒索软件。这一手法突显了攻击者工具选择的演变，使得安全团队更难区分合法活动与恶意行为，对全球组织机构构成严重威胁。

主要内容：

攻击者使用存在权限提升漏洞CVE-2025-6264的旧版Velociraptor（0.73.4.0），通过该漏洞实现任意命令执行并控制主机。在初始入侵阶段，攻击者创建同步至Entra ID的本地管理员账户，借此访问VMware vSphere控制台，获得对虚拟机的持久控制权。

Velociraptor被攻击者多次启动以维持持久访问，即使在主机被隔离后仍能运行。攻击者还使用Impacket smbexec风格命令远程执行程序，并创建计划任务运行批处理脚本。为规避检测，攻击者通过修改Active Directory GPO策略禁用Defender实时保护，并关闭行为监控和文件/程序活动监控。

在加密阶段，Windows系统上部署的勒索软件被识别为LockBit变种，但文件加密扩展名为“.xlockxlock”，这与Warlock勒索软件特征相符。VMware ESXi系统上则发现了Babuk勒索软件的Linux二进制文件。攻击者还使用了无文件PowerShell加密器，每次运行生成随机AES密钥，实现大规模加密。

数据加密前，攻击者通过另一PowerShell脚本外泄文件实施双重勒索，脚本使用‘Start-Sleep’在上传操作间插入延迟以逃避沙箱分析。Cisco Talos已发布两组入侵指标，包括攻击者上传的文件和Velociraptor相关文件。