Дослідники Sophos Counter Threat Unit задокументували інцидент, у якому легітимний DFIR‑інструмент Velociraptor став елементом ланцюга компрометації. Атака демонструє еволюцію підходу living‑off‑the‑land (LotL): замість явних шкідливих програм використовуються підписані бінарники Windows, хмарні сервіси та інструменти безпеки, що ускладнює виявлення та атрибуцію.
Що сталося: ланцюг компрометації через msiexec і Cloudflare Workers
За даними Sophos, зловмисники застосували Windows msiexec для отримання MSI‑пакета з домену Cloudflare Workers, використовуючи його як проміжний «стейджер» для подальших компонентів. Після розгортання інсталятор встановлював Velociraptor, а агент встановлював з’єднання з іншим доменом у тій самій екосистемі Cloudflare. Такий підхід дозволяє приховано доставляти корисні навантаження, маскуючись під легітимний трафік та підписані виконувані файли.
Роль Velociraptor у атаці
Velociraptor — це популярний інструмент цифрової криміналістики та реагування на інциденти (DFIR). У цьому випадку він виступив як платформа для віддаленого доступу й збору артефактів, що традиційно вважаються «довіреними». Несанкціоноване розгортання такого агента є тривожним маркером: згідно з оцінкою Sophos, це може передувати подальшим етапам — включно з розгортанням програм-вимагачів.
Тунелі через Visual Studio Code і Cloudflare
Отримавши контроль, оператори загрози завантажили Visual Studio Code з того ж проміжного вузла через закодовану команду PowerShell і запустили його з увімкненими можливостями Remote Tunnels. Таким чином забезпечувався стійкий віддалений доступ і RCE без використання «шумних» бекдорів. Телеметрія також вказувала на ознаки застосування Cloudflare Tunnel і легітимної утиліти Radmin, а msiexec повторно використовувався для підвантаження додаткових компонентів.
Еволюція living‑off‑the‑land: від RMM до DFIR
Раніше зловмисники системно зловживали інструментами віддаленого моніторингу й управління (RMM). Тепер в арсенал активно додаються DFIR‑рішення, телеметрія яких часто пропускається засобами безпеки через рівень довіри. Така трансформація підвищує ефективність обходу захисту: інфраструктура ворожих операцій «зливається» з повсякденною адміністративною активністю.
Ризики, індикатори компрометації та MITRE ATT&CK
Ключові ризики включають прихований обхід периметра, довготривалий віддалений доступ та ескалацію привілеїв без класичних бекдорів. Сценарій корелює з технікою MITRE ATT&CK T1218.007 — Signed Binary Proxy Execution: Msiexec, а також зі зловживанням легітимними тунелями для обходу політик мережевої безпеки.
Серед ознак компрометації: нетипові мережеві з’єднання процесу msiexec із сервісами Cloudflare Workers; неочікувані встановлення або активність Velociraptor; запуск VS Code із параметрами remote‑tunnel; ланцюжки з PowerShell із закодованими аргументами (EncodedCommand) у зв’язці з цими процесами. Регулятори, зокрема CISA, неодноразово попереджали про зростання зловживань легітимними RMM/адмін‑засобами та рекомендували посилений моніторинг та контроль їх використання.
Рекомендації від Sophos і Rapid7: як виявляти та блокувати
Sophos закликає розслідувати будь‑які випадки несанкціонованого розгортання Velociraptor. Розробник інструмента, Rapid7, опублікував практичні настанови щодо виявлення його зловживань у корпоративних середовищах, підкресливши: будь‑який інструмент безпеки може бути використаний у шкідливих цілях за відсутності належного контролю.
Рекомендовані кроки: жорстке розмежування прав на встановлення та запуск DFIR/RMM‑інструментів; перевірка цілісності інсталяторів і джерел завантаження; моніторинг дочірніх процесів msiexec і PowerShell з аномальними аргументами; обмеження й моніторинг вихідних з’єднань до сервісів тунелювання (Cloudflare, VS Code Tunnels); створення правил виявлення за подіями Velociraptor (нестандартні конфігурації, невідомі сервери керування, відхилення від типових профілів).
Організаціям доцільно переглянути політики використання легітимних адмін‑ та DFIR‑утиліт, увімкнути розширене логування PowerShell, посилити контроль вихідного трафіку й запровадити окремі детектори для msiexec → Cloudflare → Velociraptor/VS Code ланцюгів. Чим раніше фіксуються такі аномалії, тим нижчий ризик ескалації до шифрувальників і значних операційних збоїв.
