Открытый DFIR-инструмент Velociraptor, созданный Майком Коэном и развиваемый Rapid7, оказался в центре новой волны атак: по данным Cisco Talos, злоумышленники используют устаревшую сборку для эскалации привилегий и развертывания шифровальщиков в инфраструктурах Windows и VMware ESXi. Техника сочетается с тактиками living-off-the-land и указывает на усложнение инструментов и процедур (TTP) современных вымогателей.
DFIR-инструменты как оружие: эволюция living-off-the-land
Еще летом специалисты Sophos сообщали о случаях, когда неизвестные операторы применяли Velociraptor для загрузки и запуска Visual Studio Code на скомпрометированных хостах и установления защищенного туннеля к своей инфраструктуре управления. Этот тренд демонстрирует сдвиг: легитимные средства IR и администрирования становятся частью арсенала атакующих, снижая заметность и усложняя реагирование.
Цепочка атаки: Entra ID, vSphere и уязвимая версия Velociraptor
Согласно Cisco Talos, на начальном этапе злоумышленники создавали локальные учетные записи администраторов, синхронизированные с Entra ID, и использовали их для доступа к консоли VMware vSphere, закрепляя контроль над виртуальными машинами. Затем устанавливалась устаревшая версия Velociraptor 0.73.4.0, уязвимая к CVE-2025-6264 — ошибке повышения привилегий, которая позволяет выполнять произвольные команды и получать контроль над хостом. Исследователи отмечают, что инструмент запускался многократно, сохранял закрепление даже после изоляции хоста, и выступал в качестве «узла управления» на точке.
Паралич защит и двустороннее шифрование: Windows и ESXi
Операторы отключали защиту Microsoft Defender в реальном времени, модифицируя GPO Active Directory, а также деактивировали мониторинг поведения и активности файлов. Несмотря на срабатывания EDR, внедренный в Windows шифровальщик идентифицировался как LockBit, но расширение зашифрованных файлов было изменено на .xlockxlock, что характерно для вымогателя Warlock. На хостах ESXi обнаружен Linux-бинарник, определенный как Babuk. Дополнительно зафиксирован бесфайловый PowerShell-шифровальщик, генерирующий случайные ключи AES при каждом запуске и, вероятно, используемый для массового шифрования данных в Windows.
Атрибуция и экосистема вымогателей
К атакам предположительно причастна китайская группа Storm-2603 (известная также как CL-CRI-1040 и Gold Salem). По оценкам Halcyon, акторы связаны с государственными интересами и ранее действовали как партнер LockBit, а также ассоциируются с семейством Warlock. Такая «гибридизация» семейств и партнерских цепочек объясняет сочетание различных шифровальщиков в одном инциденте.
Индикаторы компрометации и охота на угрозы
В отчете Cisco Talos опубликованы два набора IOC: артефакты, загруженные на скомпрометированные системы, и файлы/следы Velociraptor. Интеграция индикаторов в SIEM/EDR и корреляция с TTP (например, T1078 «Valid Accounts», T1562.001 «Impair Defenses», T1105 «Ingress Tool Transfer», T1059.001 «PowerShell») повышают вероятность раннего обнаружения.
Рекомендации по снижению рисков
Администраторам и командам SOC
