✔Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»

14 октября 2025 18 Новости / Вёрстка / Заработок / Преимущества стилей / Самоучитель CSS / Изображения 0

Velociraptor представляет собой опенсорсный DFIR-инструмент (Digital Forensics and Incident Response), исходно созданный ИБ-специалистом Майком Коэном (Mike Cohen), а затем приобретенный компанией Rapid7, которая предлагает улучшенную версию своим клиентам.

Летом текущего года исследователи из компании Sophos сообщали, что им довелось изучить атаку, в рамках которой неизвестные злоумышленники применяли Velociraptor. В частности, злоумышленники использовали его для загрузки и запуска Visual Studio Code на скомпрометированных хостах, устанавливая защищенный туннель со своей командной инфраструктурой.

Тогда эксперты отмечали, что злоумышленники нередко применяют тактики living-off-the-land (LotL) и используют легитимные инструменты для удаленного мониторинга и управления в атаках, однако использование Velociraptor сигнализирует об эволюции таких тактик, когда софт для реагирования на инциденты используется во вредоносных целях.

Как теперь пишут аналитики Cisco Talos, по их данным, злоумышленники нашли Velociraptor новое применением и эксплуатируют устаревшую версию инструмента, уязвимую перед багом повышения привилегий (CVE-2025-6264), который позволяет выполнять произвольные команды и захватывать контроль над хостом.

На первом этапе атаки хакеры создают локальные админские аккаунты, синхронизированные с Entra ID, и используют их для доступа к консоли VMware vSphere, получив постоянный контроль над виртуальными машинами.

«После получения первоначального доступа атакующие установили устаревшую версию Velociraptor (0.73.4.0), которая уязвима перед проблемой повышения привилегий (CVE-2025-6264), которая приводит к выполнению произвольных команд и захвату эндпоинта», — объясняют исследователи.

Также отмечается, что старая версия Velociraptor помогла атакующим закрепиться в системе — инструмент запускался многократно, даже после изоляции хоста.

В своем отчете исследователи рассказывают, что атакующие отключили защиту Defender в реальном времени, модифицировав групповые политики Active Directory (GPO), а также выключили мониторинг поведения и активности файлов и программ.

Хотя EDR-решения идентифицировали шифровальщик, развернутый в скомпрометированных Windows-системах, как LockBit, расширение зашифрованных файлов было изменено на .xlockxlock, что характерно для атак вымогателя Warlock.

В свою очередь, в системах VMware ESXi исследователи обнаружили Linux-бинарник, который был идентифицирован как шифровальщик Babuk.

Также специалисты зафиксировали использование бесфайлового PowerShell-шифровальщика, генерирующего случайные AES-ключи при каждом запуске. Предполагается, что это был основной инструмент для «массового шифрования данных на Windows-машинах».

К своему отчету исследователи прилагают два набора индикаторов компрометации, наблюдавшихся в атаках, включая файлы, загруженные злоумышленниками на скомпрометированные машины, а также файлы Velociraptor.

Предполагается, что за этими атаками стоит китайская хак-группа Storm-2603 (она же CL-CRI-1040 и Gold Salem), которую аналитики компании Halcyon связывают с китайскими «правительственными» хакерами. По их данным, эта же группировка, которая стоит за шифровальщиком Warlock, ранее действовавшая как партнер LockBit.

Аналитики Cisco Talos предупреждают, что инструмент Velociraptor, предназначенный для цифровой криминалистики и реагирования на инциденты, используется в атаках шифровальщиков LockBit и Babuk. Velociraptor представляет собой опенсорсный DFIR-инструмент (Digital Forensics and Incident Response), исходно созданный ИБ-специалистом Майком Коэном (Mike Cohen), а затем приобретенный компанией Rapid7, которая предлагает улучшенную версию своим клиентам. Летом текущего года исследователи из компании Sophos сообщали, что им довелось изучить атаку, в рамках которой неизвестные злоумышленники применяли Velociraptor. В частности, злоумышленники использовали его для загрузки и запуска Visual Studio Code на скомпрометированных хостах, устанавливая защищенный туннель со своей командной инфраструктурой. Тогда эксперты отмечали, что злоумышленники нередко применяют тактики living-off-the-land (LotL) и используют легитимные инструменты для удаленного мониторинга и управления в атаках, однако использование Velociraptor сигнализирует об эволюции таких тактик, когда софт для реагирования на инциденты используется во вредоносных целях. Как теперь пишут аналитики Cisco Talos, по их данным, злоумышленники нашли Velociraptor новое применением и эксплуатируют устаревшую версию инструмента, уязвимую перед багом повышения привилегий (CVE-2025-6264), который позволяет выполнять произвольные команды и захватывать контроль над хостом. На первом этапе атаки хакеры создают локальные админские аккаунты, синхронизированные с Entra ID, и используют их для доступа к консоли VMware vSphere, получив постоянный контроль над виртуальными машинами. «После получения первоначального доступа атакующие установили устаревшую версию Velociraptor (0.73.4.0), которая уязвима перед проблемой повышения привилегий (CVE-2025-6264), которая приводит к выполнению произвольных команд и захвату эндпоинта», — объясняют исследователи. Также отмечается, что старая версия Velociraptor помогла атакующим закрепиться в системе — инструмент запускался многократно, даже после изоляции хоста. В своем отчете исследователи рассказывают, что атакующие отключили защиту Defender в реальном времени, модифицировав групповые политики Active Directory (GPO), а также выключили мониторинг поведения и активности файлов и программ. Хотя EDR-решения идентифицировали шифровальщик, развернутый в скомпрометированных Windows-системах, как LockBit, расширение зашифрованных файлов было изменено на .xlockxlock, что характерно для атак вымогателя Warlock. В свою очередь, в системах VMware ESXi исследователи обнаружили Linux-бинарник, который был идентифицирован как шифровальщик Babuk. Также специалисты зафиксировали использование бесфайлового PowerShell-шифровальщика, генерирующего случайные AES-ключи при каждом запуске. Предполагается, что это был основной инструмент для «массового шифрования данных на Windows-машинах». К своему отчету исследователи прилагают два набора индикаторов компрометации, наблюдавшихся в атаках, включая файлы, загруженные злоумышленниками на скомпрометированные машины, а также файлы Velociraptor. Предполагается, что за этими атаками стоит китайская хак-группа Storm-2603 (она же CL-CRI-1040 и Gold Salem), которую аналитики компании Halcyon связывают с китайскими «правительственными» хакерами. По их данным, эта же группировка, которая стоит за шифровальщиком Warlock, ранее действовавшая как партнер LockBit.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.