اخیراً گزارش شده است که گروه تهدید Storm-2603 (معروف به CL-CRI-1040 یا Gold Salem) از ابزار متن‌باز Velociraptor که معمولاً برای بررسی دیجیتال و پاسخ به حوادث (DFIR) استفاده می‌شود به عنوان یک سلاح در حملات باج‌افزاری بهره‌برداری کرده است.

بر اساس تحقیقات شرکت‌های امنیتی و گزارش‌های منتشرشده:

✔️ مهاجمان از آسیب‌پذیری SharePoint موسوم به ToolShell برای کسب دسترسی اولیه به محیط هدف استفاده کردند، سپس نسخه‌ی آسیب‌پذیر Velociraptor (نسخه ۰.۷۳.۴.۰) را ارائه دادند نسخه‌ای که دارای ضعف برتری امتیازات (privilege escalation) با شناسه CVE-2025-6264 بوده است.

✔️ با استفاده از این ابزار مخرب، مهاجمان توانسته‌اند دستورات دلخواه را اجرا کرده و کنترل endpoint ها را تصاحب کنند.

✔️ در جریان حمله‌ای که در اوایل ماه اوت ۲۰۲۵ انجام شد، مهاجمان اقدام به ایجاد حساب‌های مدير دامنه، اعمال تغییرات در سیاست‌های گروهی Active Directory، غیرفعال کردن حفاظت لحظه‌ای (real-time protection)  و اجرای دستورات از راه دور با ابزارهایی مانند Smbexec  کردند تا حرکت جانبی (lateral movement) در شبکه را تسهیل نمایند.

✔️ پیش از رمزگذاری نهایی و استخراج داده‌ها، مهاجمان باج‌افزارهایی مانند LockBit، Warlock و Babuk را مستقر کردند.

✔️ مدیران Velociraptor، یعنی شرکت Rapid7، اذعان کرده‌اند که ابزارهایی مانند Velociraptor نیز مانند سایر ابزارهای مدیریتی می‌توانند در دست‌های نادرست مورد سوءاستفاده قرار گیرند.

✅  نکات کلیدی که باید مورد توجه قرار بگیرند

1. نظارت دقیق بر ابزارهای DFIR و مدیریت دسترسی
   ابزارهای دفاعی و مدیریتی نباید بدون کنترل دقیق در شبکه فعال باشند؛ باید رفتار آن‌ها پایش شود تا استفاده غیرمجاز شناسایی شود.

2. به‌روزرسانی و اصلاح نسخه‌ها
   استفاده از نسخه‌های آسیب‌پذیر ابزارها، مخصوصاً در محیط‌های حساس، خطرناک است. نسخه‌های تازه و پایدار باید به سرعت اعمال شوند.
3. تقسیم وظایف و کمترین امتیازات (Least Privilege)
   حساب‌های مدیریت باید محدود به کمترین امتیازات لازم باشند و دسترسی‌های اضافی به صورت موقتی اعطا شود.
4. فعال‌سازی چند عاملی (MFA)
   برای حساب‌های حیاتی مانند ادمین‌ها و دسترسی شبکه‌ای، احراز هویت چند عاملی ضروری است.
5. پایش رفتار شبکه و ترافیک مشکوک
   اجرای دستورات نامعمول، تغییر سیاست‌های AD یا فعال‌سازی سرویس‌های غیرمنتظره باید بلافاصله بررسی شود.
6. آموزش امنیت برای تیم‌ها
   تیم‌های فنی و امنیتی باید در شناخت روش‌های جدید سوءاستفاده از ابزارهای قانونی، آموزش ببینند و سناریوهای حمله را تمرین کنند.