Velociraptor aracı LockBit saldırılarında siber silaha dönüştü!

Siber güvenlik araştırmacıları, açık kaynaklı dijital adli analiz ve olay müdahale aracı olan Velociraptor’un son dönemde fidye yazılımı saldırılarında kötüye kullanıldığını tespit etti. Bu saldırıların arkasında Storm-2603 adlı tehdit grubunun olduğu değerlendiriliyor. Grup daha önce Warlock ve LockBit fidye yazılımlarıyla ilişkilendirilmişti.

Sophos ve Cisco Talos’un tespitleri

Tehdit grubunun Velociraptor’u kötüye kullanması geçtiğimiz ay Sophos tarafından raporlandı. Saldırganlar ilk erişimi sağlamak için ToolShell olarak bilinen şirket içi SharePoint güvenlik açığını istismar etti. Daha sonra Velociraptor’un 0.73.4.0 sürümünü içeren eski bir versiyonunu sisteme yükledi. Bu sürümde yer alan CVE-2025-6264 numaralı ayrıcalık yükseltme açığı sayesinde sistemde rastgele komut çalıştırma ve uç nokta kontrolü mümkün hale geldi.

Saldırıların 2025 yılının Ağustos ortasında gerçekleştiği bildirildi. Tehdit aktörlerinin sistemde yetkilerini artırmak için alan yöneticisi hesapları oluşturduğu, yanal hareketlerle ağ içinde ilerlediği ve SMB protokolü üzerinden uzaktan komut çalıştırmak için Smbexec gibi araçlardan yararlandığı belirlendi.

Veri sızdırma öncesinde saldırganların Active Directory Grup İlkesi Nesnelerini değiştirerek gerçek zamanlı korumayı devre dışı bıraktığı, savunma mekanizmalarını devre dışı bıraktığı ve tespitten kaçınmak için çeşitli yöntemler uyguladığı açıklandı. Bu olay Storm-2603 grubunun ilk kez Babuk fidye yazılımının dağıtımıyla ilişkilendirilmesi açısından dikkat çekici bir örnek olarak kayıtlara geçti.

Velociraptor’un bakımını 2021 yılında satın aldıktan sonra sürdüren Rapid7 aracın yanlış ellere geçtiğinde diğer güvenlik ve yönetim araçları gibi kötüye kullanılabileceğini daha önce açıklamıştı. Rapid7 Tehdit Analizi Direktörü Christiaan Beek bu durumun bir yazılım açığından değil meşru bir aracın kötüye kullanılmasından kaynaklandığını belirtti.

Saldırılarda kullanılan yöntemlerin devlet destekli hacker gruplarının çalışma tarzıyla uyumlu olduğu değerlendirildi. Halcyon’ın analizine göre Storm-2603, ToolShell açığına erken erişimi ve profesyonel düzeyde geliştirilen fidye yazılımı örnekleri sayesinde Çin merkezli aktörlerle benzerlik gösteriyor.

Storm-2603 grubu ilk kez Haziran 2025’te ortaya çıktı. Grup LockBit fidye yazılımını operasyonel bir araç olarak kullanırken aynı zamanda kendi geliştirdiği Warlock fidye yazılımının altyapısını da inşa etti. LockBit programının sızdırılmasından kısa süre önce Warlock adıyla sisteme kayıt olan son ortak olarak da dikkat çekti.

Halcyon’un aktardığına göre saldırganlar daha en baştan çoklu fidye yazılımı dağıtımı planladı. Bu yöntem saldırıların kime ait olduğunun tespitini zorlaştırdı ve savunma sistemlerinin etkinliğini azalttı. Ayrıca grup 48 saatlik geliştirme döngüleriyle çalışıyor ve bu da organize bir ekip yapısını ortaya koyuyor.

Saldırılarda dikkat çeken teknik ayrıntılar arasında zaman damgalarının silinmesi zararlı yazılım paketlemelerinin Çin saat diliminde 22:58-22:59 arasında yapılması ve sonraki sabah saat 01:55’te dağıtılması yer alıyor. Bunun yanında Warlock LockBit ve Babuk saldırılarında benzer iletişim bilgileri ile yazım hatalı alan adlarının kullanılması, grubun komuta kontrol altyapısının tek bir merkezden yürütüldüğünü gösteriyor.

Storm-2603’ün altyapısı Mart 2025’te kuruldu. Nisan ayında AK47 C2 framework’ünün ilk prototipini geliştirdi ve LockBit tabanlı tekli saldırılardan 48 saat içinde LockBit-Warlock çiftli saldırılara geçti. Temmuz 2025 itibarıyla Babuk fidye yazılımının dağıtımına da başlandı.

Halcyon’un analizine göre bu hızlı evrim grubun tespit önleme kabiliyetlerini, çoklu fidye yazılımı operasyonlarını ve gelişmiş saldırı altyapısını ortaya koyuyor. Açık kaynaklı güvenlik araçlarının saldırganlar tarafından yeniden amaçlandırılması bu tür olayların giderek daha karmaşık hale gelmesine neden oluyor.