Поделиться
Инструмент для противодействия кибератакам стали использовать в самих атаках
Уязвимая разновидность forensic-инструмента Velociraptor замечена в атаках с применением шифровальщиков Babuk, Warlock и LockBit. Основной подозреваемый - китайский APT-кластер Storm-2603.Обоюдоострый меч
Исследователи в сфере кибербезопасности обнаружили, что киберкриминал начал активно использовать ПО Velociraptor, опенсорсный инструмент, обычно используемый как раз для расследования киберинцидентов.
Автором инструмента является Майк Коэн (Mike Cohen). Его проект перекупила компания Rapid7, которая предлагает его расширенную версию своим клиентам.
В конце августа 2025 г. эксперты компании Sophos впервые выявили признаки криминального применения Velociraptor: злоумышленники использовали его для скачивания и запуска вредоносного кода Visual Studio на скомпрометированных хостах, обеспечивая защищённый канал доступа (туннель) между ними и своей C2-инфраструктурой.
Атаки включают в себя распространение шифровальщиков Warlock, LockBit и Babuk.
Исследователи фирм Halcyon и Cisco Talos полагают, что за атаками может стоять китайская APT-группа Storm-2603. Halcyon утверждает, помимо прочего, что Storm-2603 стоит и за атаками с применением шифровальщика Warlock, и что с операторами LockBit их связывают партнёрские отношения.
Что касается Velociraptor, то злоумышленники пользуются устаревшей версией, которая содержит серьёзную уязвимость CVE-2025-6264, обеспечивающую повышение привилегий в системе и, как следствие, запуск произвольных команд. В конечном счёте это может привести к полному захвату контроля над устройством.
На первом этапе атаки злоумышленники создавали локальный административный аккаунт, синхронизированный с Entra ID (бывш. Azure Active Directory). Его использовали для получения доступа к консоли VMware vSphere. С помощью Velociraptor они добивались постоянства присутствия: даже после того, как заражённый хост был изолирован, эта программа запускалась несколько раз.
«Любые или почти любые средства противодействия киберкриминалу - это палка о двух концах, которой можно воспользоваться и для нанесения ущерба, в особенности, если в инструменте присутствуют программные уязвимости, - указывает Александр Каушанский, генеральный директор компании «Программный Продукт». - Очевидно, что речь идёт о высокопрофессиональных злоумышленниках, знакомых с инструментами, подобными Velociraptor, и возможностями, которые он открывает. Пожалуй, что теперь появление в инфраструктуре любых файлов, связанных с Velociraptor и другими аналогичными программами следует рассматривать как признак кибератаки».
Сверх этого...
Злоумышленники также отправляли хосту команды на запуск Smbexec, скрипта на Python, который входит в комплект Impacket и позволяет запускать программы удалённо через протокол SMB.
Чтобы затруднить обнаружение, злоумышленники отключили режим защиты в реальном времени у антивируса Microsoft Defender, изменив GPO в Active Directory, а также деактивировали мониторинг поведения и активности файлов/программ.
Решения класса EDR (Endpoint Detection and Response) идентифицировали развернутый на целевых системах Windows шифровальщик как LockBit ransomware, однако расширение зашифрованных файлов было .xlockxlock, характерное для Warlock.
На системах VMware ESXi исследователи обнаружили бинарный файл для Linux, определённый как Babuk ransomware.
Исследователи из Cisco Talos также зафиксировали использование безфайлового PowerShell-шифровальщика, генерирующего случайные ключи AES при каждом запуске. По их оценке, это основной инструмент для «массового шифрования Windows-машин».
Перед шифрованием данных злоумышленники применяли другой PowerShell-скрипт для вывода файлов с целью двойного вымогательства. Скрипт использует команду Start-Sleep для вставки задержек между действиями по загрузке, чтобы обходить «песочницы» и системы анализа.
Поделиться
Короткая ссылка
