Исследователи Sophos Counter Threat Unit зафиксировали инцидент, в котором злоумышленники использовали открытый форензик- и IR‑инструмент Velociraptor как элемент цепочки компрометации. По данным специалистов, атака включала доставку ПО через стандартные компоненты Windows и развертывание туннелей для удаленного доступа — прием, демонстрирующий эволюцию тактик living-off-the-land (LotL), когда легитимные утилиты применяются во вредоносных целях.
Атака: msiexec, Cloudflare Workers и туннелирование через Visual Studio Code
Анализ Sophos показал, что злоумышленники задействовали Windows msiexec для загрузки MSI‑пакета с домена Cloudflare Workers, который выступал промежуточной инфраструктурой («стейджером») для нескольких компонентов. Далее MSI-развертывание устанавливало Velociraptor, после чего агент устанавливал связь с другим доменом в той же экосистеме Cloudflare.
Получив контроль, атакующие загрузили Visual Studio Code с того же промежуточного узла при помощи закодированной PowerShell‑команды и запустили его с активированными возможностями туннелирования. Такой подход обеспечивает удаленный доступ и удаленное выполнение кода (RCE) без внедрения «шумных» вредоносов. В инфраструктуре злоумышленников также обнаружены признаки использования средства туннелирования Cloudflare и легитимной утилиты удаленного администрирования Radmin. В ряде эпизодов msiexec применялся повторно для подгрузки дополнительных полезных нагрузок.
Эволюция LotL: от RMM к DFIR-инструментам
Использование Velociraptor как «двойного назначения» указывает на расширение спектра LotL-техник. Если ранее злоумышленники чаще злоупотребляли инструментами удаленного мониторинга и управления (RMM), то теперь в ход идут и средства цифровой криминалистики и реагирования на инциденты (DFIR). Это затрудняет детектирование: телеметрия таких инструментов нередко считается «доверенной».
Сценарий укладывается в тактики и техники MITRE ATT&CK, включая Signed Binary Proxy Execution: Msiexec (T1218.007), а также злоупотребление легитимными туннелями для обхода сетевых политик. Sophos предупреждает: несанкционированное развертывание Velociraptor следует рассматривать как возможный предвестник последующих действий, включая развертывание вымогательского ПО.
Риски для организаций и признаки компрометации
Ключевые риски включают скрытный периметровый обход, устойчивый удаленный доступ и повышение привилегий без применения «традиционных» бэкдоров. Среди индикаторов, на которые стоит обратить внимание, — нетипичные сетевые подключения процессов msiexec к сервисам Cloudflare Workers, неожиданные установки или активности Velociraptor, запускаемый VS Code с параметрами удаленных туннелей и использование закодированных PowerShell-команд в связке с этими процессами.
Регуляторы и отраслевые центры, включая CISA, неоднократно указывали на рост злоупотреблений легитимными RMM/админ-инструментами и публиковали рекомендации по их безопасному использованию и мониторингу. Практика показывает, что контроль исходящего трафика, строгая инвентаризация инструментов администрирования и полноценное аудирование PowerShell значительно повышают шансы на раннее обнаружение подобных сценариев.
Ответ индустрии: предупреждения Sophos и рекомендации Rapid7
По итогам исследования Sophos призывает организации отслеживать и расследовать любые случаи несанкционированного использования Velociraptor. Вслед за публикацией разработчик инструмента, компания Rapid7, выпустила подробные рекомендации по выявлению злоупотреблений Velociraptor в корпоративных средах, подчеркнув, что, несмотря на его широкое легитимное применение в DFIR, «любой инструмент безопасности может быть использован во вред при отсутствии надлежащего контроля».
Практические меры включают: жесткое разграничение прав на установку и запуск DFIR/RMM-инструментов; контроль целостности установочных пакетов и источников загрузки; мониторинг дочерних процессов msiexec и PowerShell с аномальными аргументами; ограничение и наблюдение за исходящими соединениями к сервисам туннелирования; настройку правил обнаружения по событиям Velociraptor (необычные конфигурации, неизвестные сервера управления, отклонения от стандартных профилей).
Инцидент подчеркивает необходимость воспринимать «легитимные» утилиты не как зону доверия, а как потенциальный вектор атаки. Пересмотрите политики использования DFIR и RMM, внедрите контроль исходящего трафика, включите расширенное логирование PowerShell и процессов установки, а также настройте охранные правила для Velociraptor. Чем раньше будут обнаружены аномалии — тем ниже риск эскалации до вымогательского ПО и серьезных операционных сбоев.
