详细内容或原文请订阅后点击阅览
利用 SharePoint 0day 的勒索软件犯罪分子将 Velociraptor 添加到他们的武器库中
而且他们很可能仍在滥用相同的 SharePoint 缺陷进行初始访问 今年夏天,被抓获利用 Microsoft SharePoint 零日漏洞的勒索软件团伙在其武器库中添加了一个新工具:Velociraptor,这是一款开源数字取证和事件响应应用程序,此前与勒索软件事件无关。
来源:The Register _恶意软件今年夏天被发现利用 Microsoft SharePoint 零日漏洞的勒索软件团伙在其武器库中添加了一个新工具:Velociraptor,这是一款开源数字取证和事件响应应用程序,此前与勒索软件事件无关。
今年 8 月,思科 Talos 事件响应团队处理了一次勒索软件攻击,犯罪分子部署了 Warlock、LockBit 和 Babuk 勒索软件来加密 VMware ESXi 虚拟机和 Windows 服务器,并在加密受害组织的文件时使用 Velociraptor 来维持隐秘访问。
Talos 的研究人员 Michael Szeliga、Aliza Johnson 和 Jaeson Schultz 在周四的威胁报告中表示,“Talos 有一定的信心认为该活动可归因于 Storm-2603 组织”。
Storm-2603 说可能与中华人民共和国的关系
Storm-2603 是一个新的组织,在微软发现犯罪分子滥用易受攻击的本地 SharePoint 服务器来部署勒索软件后,于 7 月首次出现。 当时,雷德蒙德表示怀疑犯罪分子的基地在中国,尽管他们不一定是政府支持的组织。
首次出现 SharePoint 服务器然而,反勒索软件公司 Halcyon 在本月发布的另一份报告中表示,Storm-2603 “与中国民族国家行为者有一定联系”,并且与 Warlock 和 CL-CRI-1040 属于同一个组织,并且是 LockBit 的附属机构。
与中华民族国家的联系据 Talos 称,该团伙通常在攻击中使用 Warlock 和 LockBit 勒索软件,尽管这是该团伙首次部署 Babuk 恶意软件。如果使用三种勒索软件变体来感染一名受害者听起来有点矫枉过正:这就是 Storm-2603 的另一个标志。
LockBit 勒索软件“攻击者在同一次攻击中使用两种不同的勒索软件变体是非常不寻常的,这增加了我们对这一活动可能与 Storm-2603 有关的信心,”Talos 团队写道。
迅猛龙据塔洛斯称,在这次特殊的攻击中,迅猛龙发挥了“重要作用”。
CVE-2025-6264