Серія недавних инцидентов выявила устойчивую тактику злоумышленников, которые используют Velociraptor — инструмент цифровой криминалистики и реагирования на инциденты с открытым исходным кодом — для организации каналов управления (C2) после успешной начальной компрометации. Несмотря на разные векторы входа, исследователи отмечают общие операционные шаблоны, указывающие на скоординированное или повторяющееся использование одних и тех же инструментов и методов.
Краткая хронология ключевых инцидентов
- 9 сентября — на конечной точке клиента из аграрного сектора обнаружены вредоносные инструменты.
- 15 сентября — подтверждён инцидент с вредоносной активностью, исходящей из сети управляемого поставщика услуг (MSP).
- Июль — Huntress SOC ранее уведомляла партнёра о попытках эксплуатации уязвимостей SharePoint: CVE-2025-53770 и CVE-2025-53771; зафиксированы попытки развернуть web shell, которые остались неустранёнными после первого уведомления.
- Начало ноября — атака с использованием Warlock ransomware; расследование показало установку Velociraptor 5 ноября на нескольких конечных точках для удалённого исполнения команд.
- 12 ноября — эксплуатация уязвимости в службах обновления Windows Server (WSUS), что также привело к установке Velociraptor.
Что именно делали злоумышленники — TTPs
Несколько ключевых методик, повторяющихся в расследовании:
- Различные векторы начального доступа: эксплуатация WSUS, уязвимостей SharePoint (CVE-2025-53770, CVE-2025-53771), компрометация инфраструктуры MSP.
- Постэксплуатация с использованием Velociraptor: установка Velociraptor на конечных точках для организации удалённого выполнения команд и постоянной связи с C2.
- Попытки развернуть Cloudflare в качестве туннеля: несколько попыток были заблокированы Windows Defender, однако позже злоумышленникам удалось отключить Windows Defender и завершить установку.
- Использование Visual Studio Code (process: code.exe) как метод прокладки туннелей: применение легитимного ПО для маскировки и расширения доступа внутри сети.
- Warlock ransomware: сопутствующая атаку записка с требованием выкупа подчёркивала новизну варианта и отсылала к прежним тактикам, где злоумышленники использовали код Visual Studio для создания инфраструктуры C2.
«Velociraptor был центральным инструментом на этапе постэксплуатации», — подчёркивает расследование, указывая на повторяющуюся связь между инцидентами.
Анализ угрозы и оперативное поведение
Несмотря на разнообразие начальных векторов, все инциденты демонстрируют одно ключевое совпадение: злоумышленники целенаправленно развёртывали Velociraptor для удержания доступа и управления инфраструктурой. Настройки экземпляров Velociraptor связывались с доменами, уже замеченными в предыдущих атаках, что указывает на повторное использование инфраструктуры и, возможно, на общую группу или шаблон поведения.
Применение Visual Studio Code как туннеля и попытки внедрить Cloudflare показывают стремление злоумышленников маскировать C2 трафик под легитимные сервисы и процессы, а отключение Windows Defender — классическая постэксплуатационная активность для длительного нахождения в среде.
Практические рекомендации для организаций
- Быстрая проверка и патчинг уязвимостей в WSUS и SharePoint (включая CVE-2025-53770 и CVE-2025-53771).
- Мониторинг и контроль установленных экземпляров Velociraptor: поведение процессов, необычные связи с внешними доменами, конфигурации C2.
- Отслеживание запуска process: code.exe в нетипичных контекстах (серверы, службы, непривилегированные учётные записи) и анализ сетевой активности от Visual Studio Code.
- Защита и контроль целостности Windows Defender: предотвращение его отключения политиками, EDR-контролями и журналированием изменений.
- Выявление и удаление web shell, проверки журналов IIS/SharePoint на аномальные запросы и загрузки файлов.
- Блокировка и расследование подозрительных доменов/инфраструктуры, ассоциируемой с предыдущими инцидентами; применение Threat Intelligence для корреляции индикаторов компрометации.
- План реагирования: регулярные учения по инцидент-рееспонсу, бэкапы, сегментация сети для ограничения распространения ransomware.
Вывод
Серия инцидентов демонстрирует эволюцию угроз: злоумышленники превращают инструменты для защиты и расследований, такие как Velociraptor, в эффективные средства управления и удержания доступа. Ключевым выводом для ИБ‑сообщества является необходимость не только своевременного патчинга и базовой защиты, но и глубокого мониторинга поведения процессов, контроля легитимных инструментов разработки и анализа сетевых связей. Только комплексный подход позволит снизить риск повторного использования тех же TTPs и ограничить ущерб от целенаправленных атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Velociraptor в центре постэксплуатации: WSUS, SharePoint и Warlock".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.