Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости» » Интернет технологии
sitename
Падающую на Землю обсерваторию NASA Swift будут спасать прицельным запуском крылатой ракеты - «Новости сети»
Падающую на Землю обсерваторию NASA Swift будут спасать прицельным запуском крылатой ракеты - «Новости сети»
 «Гаражная» компания запустила предзаказ на одноместный летающий мотоцикл с предоплатой в $999 - «Новости сети»
«Гаражная» компания запустила предзаказ на одноместный летающий мотоцикл с предоплатой в $999 - «Новости сети»
 В России начались продажи 12-дюймового планшета Poco Pad M1 с батарей на 12 000 мА·ч и ценой 29 990 рублей - «Новости сети»
В России начались продажи 12-дюймового планшета Poco Pad M1 с батарей на 12 000 мА·ч и ценой 29 990 рублей - «Новости сети»
 Paradox взяла на себя вину за провал Vampire: The Masquerade — Bloodlines 2 и списала больше половины бюджета игры - «Новости сети»
Paradox взяла на себя вину за провал Vampire: The Masquerade — Bloodlines 2 и списала больше половины бюджета игры - «Новости сети»
 Assassin's Creed Shadows пошла по пути Cyberpunk 2077 — Ubisoft отменила второе дополнение к игре - «Новости сети»
Assassin's Creed Shadows пошла по пути Cyberpunk 2077 — Ubisoft отменила второе дополнение к игре - «Новости сети»
 TeamGroup выпустила SSD с физической красной кнопкой самоуничтожения - «Новости сети»
TeamGroup выпустила SSD с физической красной кнопкой самоуничтожения - «Новости сети»
 Linux-ноутбук на Snapdragon X1 Elite отменён — заточенный под Windows процессор сильно тормозит с другой ОС - «Новости сети»
Linux-ноутбук на Snapdragon X1 Elite отменён — заточенный под Windows процессор сильно тормозит с другой ОС - «Новости сети»
 ИИ-пузырь «витает в воздухе», но Google всё равно замахнулась на расширение ИИ-мощностей в 1000 раз - «Новости сети»
ИИ-пузырь «витает в воздухе», но Google всё равно замахнулась на расширение ИИ-мощностей в 1000 раз - «Новости сети»
 «Роботы могут проломить череп»: Figure AI уволила инженера за такие слова и теперь ответит за это в суде - «Новости сети»
«Роботы могут проломить череп»: Figure AI уволила инженера за такие слова и теперь ответит за это в суде - «Новости сети»
 Apple устала от раздутого кода — в iOS 27 качество будет превыше новых функций - «Новости сети»
Apple устала от раздутого кода — в iOS 27 качество будет превыше новых функций - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»

✔Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»

14 октября 2025 18 Новости / Вёрстка / Заработок / Преимущества стилей / Самоучитель CSS / Изображения 0

Аналитики Cisco Talos предупреждают, что инструмент Velociraptor, предназначенный для цифровой криминалистики и реагирования на инциденты, используется в атаках шифровальщиков LockBit и Babuk.


Velociraptor представляет собой опенсорсный DFIR-инструмент (Digital Forensics and Incident Response), исходно созданный ИБ-специалистом Майком Коэном (Mike Cohen), а затем приобретенный компанией Rapid7, которая предлагает улучшенную версию своим клиентам.


Летом текущего года исследователи из компании Sophos сообщали, что им довелось изучить атаку, в рамках которой неизвестные злоумышленники применяли Velociraptor. В частности, злоумышленники использовали его для загрузки и запуска Visual Studio Code на скомпрометированных хостах, устанавливая защищенный туннель со своей командной инфраструктурой.


Тогда эксперты отмечали, что злоумышленники нередко применяют тактики living-off-the-land (LotL) и используют легитимные инструменты для удаленного мониторинга и управления в атаках, однако использование Velociraptor сигнализирует об эволюции таких тактик, когда софт для реагирования на инциденты используется во вредоносных целях.


Как теперь пишут аналитики Cisco Talos, по их данным, злоумышленники нашли Velociraptor новое применением и эксплуатируют устаревшую версию инструмента, уязвимую перед багом повышения привилегий (CVE-2025-6264), который позволяет выполнять произвольные команды и захватывать контроль над хостом.


На первом этапе атаки хакеры создают локальные админские аккаунты, синхронизированные с Entra ID, и используют их для доступа к консоли VMware vSphere, получив постоянный контроль над виртуальными машинами.


«После получения первоначального доступа атакующие установили устаревшую версию Velociraptor (0.73.4.0), которая уязвима перед проблемой повышения привилегий (CVE-2025-6264), которая приводит к выполнению произвольных команд и захвату эндпоинта», — объясняют исследователи.


Также отмечается, что старая версия Velociraptor помогла атакующим закрепиться в системе — инструмент запускался многократно, даже после изоляции хоста.


В своем отчете исследователи рассказывают, что атакующие отключили защиту Defender в реальном времени, модифицировав групповые политики Active Directory (GPO), а также выключили мониторинг поведения и активности файлов и программ.


Хотя EDR-решения идентифицировали шифровальщик, развернутый в скомпрометированных Windows-системах, как LockBit, расширение зашифрованных файлов было изменено на .xlockxlock, что характерно для атак вымогателя Warlock.


В свою очередь, в системах VMware ESXi исследователи обнаружили Linux-бинарник, который был идентифицирован как шифровальщик Babuk.


Также специалисты зафиксировали использование бесфайлового PowerShell-шифровальщика, генерирующего случайные AES-ключи при каждом запуске. Предполагается, что это был основной инструмент для «массового шифрования данных на Windows-машинах».


К своему отчету исследователи прилагают два набора индикаторов компрометации, наблюдавшихся в атаках, включая файлы, загруженные злоумышленниками на скомпрометированные машины, а также файлы Velociraptor.


Предполагается, что за этими атаками стоит китайская хак-группа Storm-2603 (она же CL-CRI-1040 и Gold Salem), которую аналитики компании Halcyon связывают с китайскими «правительственными» хакерами. По их данным, эта же группировка, которая стоит за шифровальщиком Warlock, ранее действовавшая как партнер LockBit.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Аналитики Cisco Talos предупреждают, что инструмент Velociraptor, предназначенный для цифровой криминалистики и реагирования на инциденты, используется в атаках шифровальщиков LockBit и Babuk. Velociraptor представляет собой опенсорсный DFIR-инструмент (Digital Forensics and Incident Response), исходно созданный ИБ-специалистом Майком Коэном (Mike Cohen), а затем приобретенный компанией Rapid7, которая предлагает улучшенную версию своим клиентам. Летом текущего года исследователи из компании Sophos сообщали, что им довелось изучить атаку, в рамках которой неизвестные злоумышленники применяли Velociraptor. В частности, злоумышленники использовали его для загрузки и запуска Visual Studio Code на скомпрометированных хостах, устанавливая защищенный туннель со своей командной инфраструктурой. Тогда эксперты отмечали, что злоумышленники нередко применяют тактики living-off-the-land (LotL) и используют легитимные инструменты для удаленного мониторинга и управления в атаках, однако использование Velociraptor сигнализирует об эволюции таких тактик, когда софт для реагирования на инциденты используется во вредоносных целях. Как теперь пишут аналитики Cisco Talos, по их данным, злоумышленники нашли Velociraptor новое применением и эксплуатируют устаревшую версию инструмента, уязвимую перед багом повышения привилегий (CVE-2025-6264), который позволяет выполнять произвольные команды и захватывать контроль над хостом. На первом этапе атаки хакеры создают локальные админские аккаунты, синхронизированные с Entra ID, и используют их для доступа к консоли VMware vSphere, получив постоянный контроль над виртуальными машинами. «После получения первоначального доступа атакующие установили устаревшую версию Velociraptor (0.73.4.0), которая уязвима перед проблемой повышения привилегий (CVE-2025-6264), которая приводит к выполнению произвольных команд и захвату эндпоинта», — объясняют исследователи. Также отмечается, что старая версия Velociraptor помогла атакующим закрепиться в системе — инструмент запускался многократно, даже после изоляции хоста. В своем отчете исследователи рассказывают, что атакующие отключили защиту Defender в реальном времени, модифицировав групповые политики Active Directory (GPO), а также выключили мониторинг поведения и активности файлов и программ. Хотя EDR-решения идентифицировали шифровальщик, развернутый в скомпрометированных Windows-системах, как LockBit, расширение зашифрованных файлов было изменено на .xlockxlock, что характерно для атак вымогателя Warlock. В свою очередь, в системах VMware ESXi исследователи обнаружили Linux-бинарник, который был идентифицирован как шифровальщик Babuk. Также специалисты зафиксировали использование бесфайлового PowerShell-шифровальщика, генерирующего случайные AES-ключи при каждом запуске. Предполагается, что это был основной инструмент для «массового шифрования данных на Windows-машинах». К своему отчету исследователи прилагают два набора индикаторов компрометации, наблюдавшихся в атаках, включая файлы, загруженные злоумышленниками на скомпрометированные машины, а также файлы Velociraptor. Предполагается, что за этими атаками стоит китайская хак-группа Storm-2603 (она же CL-CRI-1040 и Gold Salem), которую аналитики компании Halcyon связывают с китайскими «правительственными» хакерами. По их данным, эта же группировка, которая стоит за шифровальщиком Warlock, ранее действовавшая как партнер LockBit.
CSS
запостил(а)
Gilmore
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: