Source: https://thehackernews.com/2025/08/attackers-abuse-velociraptor-forensic.html
🛡 概要
最近、サイバーセキュリティ研究者たちは、オープンソースのエンドポイント監視およびデジタルフォレンジックツールであるVelociraptorを用いたサイバー攻撃について警告を発しました。この攻撃では、正当なソフトウェアが悪意のある目的で悪用される事例が示されています。具体的には、攻撃者はこのツールを利用してVisual Studio Codeをダウンロードし、攻撃者制御のコマンド&コントロール(C2)サーバーへのトンネルを作成する意図があると考えられています。
🔍 技術詳細
この攻撃では、Windowsのmsiexecユーティリティを使用してCloudflare WorkersドメインからMSIインストーラーをダウンロードしました。MSIファイルはVelociraptorをインストールするために設計されており、その後、別のCloudflare Workersドメインとの接触を確立します。攻撃者は、エンコードされたPowerShellコマンドを使用してVisual Studio Codeをダウンロードし、トンネルオプションを有効にして実行します。これにより、リモートアクセスとリモートコード実行が可能となります。また、攻撃者はmsiexecを再度使用して追加のペイロードをダウンロードしています。
⚠ 影響
この攻撃の影響は深刻であり、組織はVelociraptorの不正使用を監視し、調査する必要があります。Sophosによると、この手法はランサムウェアの前兆と見なされるべきです。特に、エンドポイント検出および応答システムを実装し、予期しないツールや疑わしい行動を監視することが重要です。また、システムのセキュリティを強化し、バックアップを生成するためのベストプラクティスに従うことで、ランサムウェアの脅威を軽減できます。
🛠 対策
組織がこのような攻撃に対抗するためには、いくつかの対策が必要です。まず、エンドポイント検出および応答(EDR)システムを導入し、異常な動作をリアルタイムで監視します。また、ユーザー教育も重要であり、ITヘルプデスクの偽装や不審なメッセージに対する警戒心を高めることが求められます。さらに、監査ログを監視し、異常な活動を迅速に特定することで、早期の対処が可能となります。これらの対策を講じることで、将来的な攻撃リスクを低減することができるでしょう。
