インシデント対応ツール Velociraptor がリモートアクセスに悪用される

Velociraptor incident response tool abused for remote access/の翻訳です。最新の情報は英語記事をご覧ください。**

2025 年 8 月、Counter Threat Unit™ (CTU) のリサーチャーは、正規のオープンソース DFIR (デジタルフォレンジックおよびインシデント対応) ツール Velociraptor が展開された侵害事例を調査しました。この事例では、攻撃者はこのツールを使用して Visual Studio Code をダウンロードし実行しました。これは、攻撃者が管理するコマンドアンドコントロール (C2) サーバーへのトンネルを形成する目的だったと考えられます。Visual Studio Code のトンネルオプションを有効にしたことで、Taegis™ のアラートがトリガーされました。このオプションはリモートアクセスとリモートコード実行の両方を可能にするため、過去に複数の攻撃グループによって悪用されてきた歴史があります。

攻撃者は、Windows の msiexec ユーティリティを使用し、Cloudflare Workers のドメイン (files[.]qaubctgg[.]workers[.]dev) からインストーラー (v2.msi) をダウンロードしました。この場所は、Cloudflare のトンネルツールや Radmin のリモート管理ツールなど、攻撃者が使用するツールを一時的に保管するために利用されていると考えられます。ダウンロードされたインストーラーは Velociraptor をインストールしました。この Velociraptor は C2 サーバー (velo[.]qaubctgg[.]workers[.]dev) と通信するように構成されていました。その後、攻撃者はエンコードされた PowerShell コマンドを使用して、同じ保管場所から Visual Studio Code (code.exe) をダウンロードし、トンネルオプションを有効にして実行しました。攻撃者は code.exe をサービスとしてインストールし、出力をログファイルにリダイレクトしました。さらに、再び msiexec ユーティリティを使い、workers[.]dev フォルダから追加のマルウェア (sc.msi) をダウンロードしました (図 1 参照)。

図 1：Velociraptor が Visual Studio Code でトンネルを作成する過程を示すプロセスツリー

Visual Studio Code でトンネリングする行動が Taegis アラートをトリガーしたため、ソフォスは調査を開始しました。アナリストは緩和策に関するアドバイスを提供し、お客様が影響を受けたホストの隔離などの対策を迅速に実行できるよう支援しました。この対応により、攻撃は未遂に終わりました。分析結果より、この悪意のある活動はランサムウェアの展開を目的にしていた可能性が高いと考えられます。

攻撃者はリモート監視・管理 (RMM) ツールを悪用することが多くあります。場合によっては、標的のシステムにすでに存在しているツールを悪用したり、攻撃中にツールを展開したりします。今回の Velociraptor の事例から、攻撃者がネットワークに足がかりを築き、展開するマルウェアを最小限に抑えるために、インシデント対応ツールを使用するという戦術に移行していることを明らかになりました。

Velociraptor を利用している組織は、その不正使用を監視・調査すべきであり、この手口が観測された場合、ランサムウェア攻撃の前兆として扱う必要があります。エンドポイント検知・対応 (EDR) システムの導入、予期せぬツールや不審な挙動の監視、そしてシステムの保護とバックアップ作成のベストプラクティスに従うことで、ランサムウェアの脅威を軽減できます。ランサムウェアが展開される前に攻撃を検知できれば、その影響は大幅に軽減されます。

ソフォスの保護機能は、この脅威に関連する以下の活動を検知します。

• Troj/Agent-BLMR
• Troj/BatDl-PL
• Troj/Mdrop-KDK

このマルウェアのリスクを軽減するため、CTU™ のリサーチャーは、表 1 に記載されているインディケーターを使用して、アクセスを精査および制限するための利用可能な制御策を講じることを推奨しています。ドメインには悪意のあるコンテンツが含まれている可能性があるため、ブラウザで開く前にリスクを考慮してください。

表 1： この脅威のインディケーター