عوامل تهدید از ابزار digital forensics and incident response (DFIR) متنباز Velociraptor در حملات باجافزاری Storm-2603 (معروف به CL-CRI-1040 یا Gold Salem) سوءاستفاده میکنند که منجر به استقرار باجافزارهای LockBit و Babuk وWarlock میشود.
بنابر گزارش محققان Cisco Talos، ارزیابیها نشان داد که نفوذگران از آسیبپذیریهای SharePoint داخلی معروف به ToolShell برای دستیابی اولیه و ارائه یک نسخه قدیمی از Velociraptor (نسخه 0.73.4.0) که مستعد آسیبپذیری ارتقا سطح دسترسی با شناسهٔ CVE-2025-6264 (امتیاز 5.5) است، برای فعال کردن اجرای دستور دلخواه و تصاحب نقطه پایانی سوءاستفاده کرده است. گفتنی است که عوامل تهدید با ایجاد حسابهای کاربری ادمین دامنه که با Entra ID همگامسازی شده بودند، حرکت جانبی در محیط آسیبپذیر و همچنین با استفاده از دسترسی برای اجرای ابزارهایی مانند Smbexec جهت راهاندازی از راه دور برنامهها با استفاده از پروتکل SMB، تلاشهایی برای ارتقا سطح دسترسی انجام دادهاند. قبل از استخراج دادهها و حذف Warlock، LockBit و Babuk، مشخص شده است که مهاجم اشیاء سیاست گروهی (GPO) اکتیو دایرکتوری (AD) را تغییر میدهد و با غیرفعالسازی محافظت بلادرنگ برای دستکاری در سیستم دفاعی از شناسایی شدن فرار میکند. این یافتهها اولین باری است که Storm-2603 به استقرار باجافزار Babuk مرتبط دانسته شده است.
https://www.bleepingcomputer.com/news/security/hackers-now-use-velociraptor-dfir-tool-in-ransomware-attacks/
https://thehackernews.com/2025/10/hackers-turn-velociraptor-dfir-tool.html
