以前にもVelociraptorをC2として扱ったランサムウェア攻撃者の話題は扱った。
www.sdsg.moe

最近はランサムウェア、もしくはそれ以外の攻撃事例でもVelociraptorをC2として扱われた事例が増えているように思う。

今回取り上げる2026年2月8日Huntressのレポートでは、Velociraptorも使われているが他にも複数の正規ツールの悪用に関して報告されている。

Zoho Assist、VSCode、Cloudflared、Elastic CloudなどのHuntressのレポートに記載のある正規ツール悪用に関して、ダイジェストでお届け。
www.huntress.com

ことの始まりは、SolarWinds Web Help Deskの脆弱性悪用

Huntressでは、CVE-2025-26399やCVE-2025-40551の脆弱性悪用を起点として攻撃を観測。こうしてRCEでmsiexecでプログラムインストールを行った。

msiexecでインストールしたのは、Catboxで配信されていたZoho Assist。Zoho Assistにも、以前挙げたScreen Connectとかみたいにインストールしたらすぐ使える的なインストーラ生成ができるようだ。
www.sdsg.moe

ちなみに、Catboxのドメインは当ブログと同じ.moeです。・::・:ｳｰﾝ(ﾉ)’ω’(ヾ)萌ぇ:・::・

こうして外部からGUIで快適にターゲットマシンを操作できるようになった攻撃者は、内部探索しつつC2として活用するVelociraptorをインストールする。

"Who's running Velociraptor? Not the Blue Team." by Huntress analyst

DFIRとかに使われるVelociraptorをブルーチームではなく攻撃者が使ってます！！！
docs.velociraptor.app

Velociraptorのインストールもmsiexecでリモートからダウンロード&インストールのようだが、ここではsupabaseで配信されたものを使っている。

Velociraptorをインストールしてしまえば、インシデント調査を行うように自由にコマンド実行が可能になる。

Velociraptorで行われる1つの操作は、VSCodeバイナリのハッシュチェックとダウンロード。おそらく、Remote TunnnelでMicrodoftのインフラ経由(vscode.dev/tunnels.api.visualstudio.com)でターゲット端末にアクセスするため。
code.visualstudio.com

Cloudflaredのインストールも行っている。これはCloudflareのインフラ経由で外部からアクセスしやすくしたためでしょう。ただし、CloudflaredのインストールはWindows Defenderとかが検知するようなので、無効化したりしないとできなさそう。
www.huntress.com

Velociraptorの自体活用は、Cisco Talosの記事にもう少し詳細がある。
blog.talosintelligence.com

Elastic Cloudをデータ収集サーバに！？

この攻撃者は、収集したデータをElastic Cloudに送信していたようだ。
www.elastic.co

powershellで収集したOSバージョン、ハードウェア仕様、ドメインメンバーシップ、インストール済みホットフィックスなど、詳細なシステム情報などをElastic Cloudへ送った。

GCPでホストされているElastic Cloudの無料トライアル版を使用していたぽいことも判明したらしい。

Elastic Cloudってログとか送って解析しやすくするプラットフォームのはずだが、SIEMを攻撃に使うなんて なかなか凄いことをするな。

攻撃ツールってどこから？正規ツールってどこまで？

包丁を悪く使ったら犯罪が起こるのも正規ツールの悪用的な話なんだろうか。

PCを悪く使ったら正規ツールの悪用なんだろうか。

RMMツールを悪く使ったら正規ツール悪用だろうか。

パスワード解析ツールを悪く使ったら正規ツール悪用だろうか。

ペネトレーションテストツールを悪く使ったら正規ツール悪用だろうか。

これらを並べることが間違っているだろうか。