Згідно з даними Cisco Talos, зловмисники використовують застарілу збірку відкритого DFIR-інструмента Velociraptor для ескалації привілеїв і розгортання шифрувальників у середовищах Windows та VMware ESXi. Йдеться про версію Velociraptor 0.73.4.0, вразливу до CVE-2025-6264, що дозволяє виконання довільних команд і захоплення контролю над хостом. Техніка поєднує прийоми living-off-the-land і свідчить про ускладнення TTP сучасних операторів-вимагачів.
DFIR-інструменти як зброя: новий етап living-off-the-land
Velociraptor, створений Майком Коеном і підтримуваний Rapid7, розроблявся для форензіки та реагування на інциденти. Однак дослідники фіксують тренд, коли легітимні IR- та адмініструвальні засоби використовуються як частина атак, зменшуючи помітність дій зловмисників. Так, фахівці Sophos раніше повідомляли про випадки запуску за допомогою Velociraptor IDE Visual Studio Code на скомпрометованих вузлах і встановлення зашифрованих тунелів до інфраструктури управління атакою.
Ланцюжок атаки: Entra ID, vSphere і уразливий Velociraptor
На початковому етапі зловмисники створювали локальні облікові записи адміністраторів, синхронізовані з Entra ID, і використовували їх для доступу до консолі VMware vSphere, отримуючи стійкий контроль над ВМ. Далі завантажувалась і запускалась уразлива збірка Velociraptor 0.73.4.0. Експлуатація CVE-2025-6264 відкривала шлях до виконання команд із підвищеними правами; інструмент стартував багаторазово, зберігав закріплення навіть після ізоляції хоста та фактично слугував «вузлом керування» на цілі.
Параліч захистів і двовекторне шифрування: Windows та ESXi
Оператори вимикали Microsoft Defender у режимі реального часу, змінюючи GPO в Active Directory, а також деактивували поведінковий і файловий моніторинг. Попри спрацювання EDR, рансомвер, який діяв у Windows, ідентифікувався як LockBit, але розширення зашифрованих файлів було змінено на .xlockxlock, що типовo для сімейства Warlock. На хостах ESXi виявлено Linux-бінарник, визначений як Babuk. Додатково зафіксовано безфайловий PowerShell-шифрувальник, який кожного запуску генерує випадкові ключі AES і, ймовірно, використовується для масового шифрування даних у Windows.
Атрибуція і «гібридизація» екосистеми вимагачів
Інциденти попередньо пов’язують із китайською групою Storm-2603 (відомою як CL-CRI-1040 і Gold Salem). За оцінками Halcyon, актори мають зв’язки з державними інтересами, раніше діяли як афілійовані партнери LockBit і асоціюються з Warlock. Така «гібридизація» пояснює одночасне використання різних шифрувальників у межах одного інциденту.
IOC і полювання на загрози: що варто інтегрувати у SIEM/EDR
Cisco Talos оприлюднила два набори IOC: артефакти, завантажені на скомпрометовані системи, і файли/сліди Velociraptor. Інтеграція цих індикаторів у SIEM/EDR із кореляцією на рівні TTP підвищує шанс раннього виявлення. Зверніть увагу на техніки MITRE ATT&CK: T1078 (Valid Accounts), T1562.001 (Impair Defenses), T1105 (Ingress Tool Transfer), T1059.001 (PowerShell).
Рекомендації для зменшення ризику компрометації
Оновіть Velociraptor до актуальних версій, забороніть запуск застарілих збірок (контроль застосунків, allowlist) та перевіряйте цілісність і підпис двійкових файлів. Обмежте права сервісних і локальних адмін-обліковок, відстежуйте їх синхронізацію з Entra ID і ревізуйте незвичні створення/додавання до груп.
Зміцніть vSphere/ESXi: застосуйте останні патчі, вимкніть зайві інтерфейси керування, розділіть мережі керування і виробничі сегменти, увімкніть багатофакторну автентифікацію. Моніторинг GPO і журналювання змін політик допоможуть вчасно виявити спроби вимкнення Defender.
Підвищте видимість PowerShell: вмикайте Script Block Logging, AMSI, Constrained Language Mode, ловіть аномалії генерації ключів і масові операції шифрування. Переконайтеся, що бекапи зберігаються офлайн і регулярно тестуються на відновлення.
Експлуатація CVE-2025
