Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости» » Интернет технологии
sitename
Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»
Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»
 ФБР закрыло очередную версию BreachForums - «Новости»
ФБР закрыло очередную версию BreachForums - «Новости»
 Xakep.ru снова доступен в Казахстане! - «Новости»
Xakep.ru снова доступен в Казахстане! - «Новости»
 Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»
Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»
 Microsoft предупреждает о хак-группе, которая ворует зарплаты сотрудников вузов - «Новости»
Microsoft предупреждает о хак-группе, которая ворует зарплаты сотрудников вузов - «Новости»
 Арест за арестом: причиной возгорания в правительственном ЦОД Южной Кореи могло стать не отключенное вовремя резервное питание - «Новости сети»
Арест за арестом: причиной возгорания в правительственном ЦОД Южной Кореи могло стать не отключенное вовремя резервное питание - «Новости сети»
 Вложи $5 млн — получи $75 млн: NVIDIA похвасталась новыми рекордами в комплексном бенчмарке InferenceMAX v1 - «Новости сети»
Вложи $5 млн — получи $75 млн: NVIDIA похвасталась новыми рекордами в комплексном бенчмарке InferenceMAX v1 - «Новости сети»
 Тайвань заявил, что не зависит от китайских редкоземельных металлов - «Новости сети»
Тайвань заявил, что не зависит от китайских редкоземельных металлов - «Новости сети»
 Apple планирует представить на этой неделе три новых продукта - «Новости сети»
Apple планирует представить на этой неделе три новых продукта - «Новости сети»
 Пользователи ChatGPT снова могут удалять свои чаты безвозвратно - «Новости сети»
Пользователи ChatGPT снова могут удалять свои чаты безвозвратно - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»

✔Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»

14 октября 2025 0 Новости / Вёрстка / Заработок / Преимущества стилей / Самоучитель CSS / Изображения 0

Аналитики Cisco Talos предупреждают, что инструмент Velociraptor, предназначенный для цифровой криминалистики и реагирования на инциденты, используется в атаках шифровальщиков LockBit и Babuk.


Velociraptor представляет собой опенсорсный DFIR-инструмент (Digital Forensics and Incident Response), исходно созданный ИБ-специалистом Майком Коэном (Mike Cohen), а затем приобретенный компанией Rapid7, которая предлагает улучшенную версию своим клиентам.


Летом текущего года исследователи из компании Sophos сообщали, что им довелось изучить атаку, в рамках которой неизвестные злоумышленники применяли Velociraptor. В частности, злоумышленники использовали его для загрузки и запуска Visual Studio Code на скомпрометированных хостах, устанавливая защищенный туннель со своей командной инфраструктурой.


Тогда эксперты отмечали, что злоумышленники нередко применяют тактики living-off-the-land (LotL) и используют легитимные инструменты для удаленного мониторинга и управления в атаках, однако использование Velociraptor сигнализирует об эволюции таких тактик, когда софт для реагирования на инциденты используется во вредоносных целях.


Как теперь пишут аналитики Cisco Talos, по их данным, злоумышленники нашли Velociraptor новое применением и эксплуатируют устаревшую версию инструмента, уязвимую перед багом повышения привилегий (CVE-2025-6264), который позволяет выполнять произвольные команды и захватывать контроль над хостом.


На первом этапе атаки хакеры создают локальные админские аккаунты, синхронизированные с Entra ID, и используют их для доступа к консоли VMware vSphere, получив постоянный контроль над виртуальными машинами.


«После получения первоначального доступа атакующие установили устаревшую версию Velociraptor (0.73.4.0), которая уязвима перед проблемой повышения привилегий (CVE-2025-6264), которая приводит к выполнению произвольных команд и захвату эндпоинта», — объясняют исследователи.


Также отмечается, что старая версия Velociraptor помогла атакующим закрепиться в системе — инструмент запускался многократно, даже после изоляции хоста.


В своем отчете исследователи рассказывают, что атакующие отключили защиту Defender в реальном времени, модифицировав групповые политики Active Directory (GPO), а также выключили мониторинг поведения и активности файлов и программ.


Хотя EDR-решения идентифицировали шифровальщик, развернутый в скомпрометированных Windows-системах, как LockBit, расширение зашифрованных файлов было изменено на .xlockxlock, что характерно для атак вымогателя Warlock.


В свою очередь, в системах VMware ESXi исследователи обнаружили Linux-бинарник, который был идентифицирован как шифровальщик Babuk.


Также специалисты зафиксировали использование бесфайлового PowerShell-шифровальщика, генерирующего случайные AES-ключи при каждом запуске. Предполагается, что это был основной инструмент для «массового шифрования данных на Windows-машинах».


К своему отчету исследователи прилагают два набора индикаторов компрометации, наблюдавшихся в атаках, включая файлы, загруженные злоумышленниками на скомпрометированные машины, а также файлы Velociraptor.


Предполагается, что за этими атаками стоит китайская хак-группа Storm-2603 (она же CL-CRI-1040 и Gold Salem), которую аналитики компании Halcyon связывают с китайскими «правительственными» хакерами. По их данным, эта же группировка, которая стоит за шифровальщиком Warlock, ранее действовавшая как партнер LockBit.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Аналитики Cisco Talos предупреждают, что инструмент Velociraptor, предназначенный для цифровой криминалистики и реагирования на инциденты, используется в атаках шифровальщиков LockBit и Babuk. Velociraptor представляет собой опенсорсный DFIR-инструмент (Digital Forensics and Incident Response), исходно созданный ИБ-специалистом Майком Коэном (Mike Cohen), а затем приобретенный компанией Rapid7, которая предлагает улучшенную версию своим клиентам. Летом текущего года исследователи из компании Sophos сообщали, что им довелось изучить атаку, в рамках которой неизвестные злоумышленники применяли Velociraptor. В частности, злоумышленники использовали его для загрузки и запуска Visual Studio Code на скомпрометированных хостах, устанавливая защищенный туннель со своей командной инфраструктурой. Тогда эксперты отмечали, что злоумышленники нередко применяют тактики living-off-the-land (LotL) и используют легитимные инструменты для удаленного мониторинга и управления в атаках, однако использование Velociraptor сигнализирует об эволюции таких тактик, когда софт для реагирования на инциденты используется во вредоносных целях. Как теперь пишут аналитики Cisco Talos, по их данным, злоумышленники нашли Velociraptor новое применением и эксплуатируют устаревшую версию инструмента, уязвимую перед багом повышения привилегий (CVE-2025-6264), который позволяет выполнять произвольные команды и захватывать контроль над хостом. На первом этапе атаки хакеры создают локальные админские аккаунты, синхронизированные с Entra ID, и используют их для доступа к консоли VMware vSphere, получив постоянный контроль над виртуальными машинами. «После получения первоначального доступа атакующие установили устаревшую версию Velociraptor (0.73.4.0), которая уязвима перед проблемой повышения привилегий (CVE-2025-6264), которая приводит к выполнению произвольных команд и захвату эндпоинта», — объясняют исследователи. Также отмечается, что старая версия Velociraptor помогла атакующим закрепиться в системе — инструмент запускался многократно, даже после изоляции хоста. В своем отчете исследователи рассказывают, что атакующие отключили защиту Defender в реальном времени, модифицировав групповые политики Active Directory (GPO), а также выключили мониторинг поведения и активности файлов и программ. Хотя EDR-решения идентифицировали шифровальщик, развернутый в скомпрометированных Windows-системах, как LockBit, расширение зашифрованных файлов было изменено на .xlockxlock, что характерно для атак вымогателя Warlock. В свою очередь, в системах VMware ESXi исследователи обнаружили Linux-бинарник, который был идентифицирован как шифровальщик Babuk. Также специалисты зафиксировали использование бесфайлового PowerShell-шифровальщика, генерирующего случайные AES-ключи при каждом запуске. Предполагается, что это был основной инструмент для «массового шифрования данных на Windows-машинах». К своему отчету исследователи прилагают два набора индикаторов компрометации, наблюдавшихся в атаках, включая файлы, загруженные злоумышленниками на скомпрометированные машины, а также файлы Velociraptor. Предполагается, что за этими атаками стоит китайская хак-группа Storm-2603 (она же CL-CRI-1040 и Gold Salem), которую аналитики компании Halcyon связывают с китайскими «правительственными» хакерами. По их данным, эта же группировка, которая стоит за шифровальщиком Warlock, ранее действовавшая как партнер LockBit.
CSS
запостил(а)
Gilmore
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: