Анализ инцидента выявил сложную целенаправленную атаку, в основе которой лежала эксплуатация критической уязвимости в службах обновления Microsoft Windows Server (WSUS) — CVE-2025-59287. Злоумышленники добились удаленного выполнения кода (RCE) с системными привилегиями через небезопасную десериализацию объектов AuthorizationCookie, после чего развернули цепочку инструментов и вредоносных компонентов для удалённого управления и сбора данных.
Краткое содержание инцидента
- Эксплуатация уязвимости в WSUS (CVE-2025-59287) привела к выполнению кода из процесса WsusService.exe.
- Атака инициировалась через msiexec, который загружал установщик 2.msi, содержащий Velociraptor — DFIR-инструмент, перепрофилированный под удалённое управление.
- Velociraptor был настроен на подключение к C2, размещённому через Cloudflare (домен velo.qaubctgg.workers.dev), и использовался для дальнейшего развертывания компонентов.
- Злоумышленник запускал code.exe (Visual Studio) с параметрами туннелирования и повторно использовал msiexec для загрузки дополнительного вредоносного ПО.
- Дополнительно применялись инструменты типа Skuld Stealer и скрипты PowerShell для разведки и эксфильтрации данных.
- Журналы EDR зафиксировали источник атак в процессе WsusService.exe, а данные указывают, что сервер был скомпрометирован до выхода исправления для CVE-2025-59287.
Как проходила атака: цепочка действий
Аналитика показывает следующую последовательность ключевых шагов:
- Эксплуатация CVE-2025-59287 через сервис WSUS с выполнением произвольного кода в контексте системного процесса;
- Запуск msiexec для загрузки и установки пакета 2.msi;
- Развёртывание Velociraptor, конфигурация его на подключение к C2 (velo.qaubctgg.workers.dev);
- Дополнительные загрузки вредоносных модулей, выполнение code.exe с опциями туннелирования, установка сервисов и расширенное сетевое туннелирование;
- Использование Skuld Stealer и PowerShell для сбора и эксфильтрации данных;
- Постепенное расширение присутствия в сети жертвы и закрепление доступа.
«удаленное выполнение кода (RCE) с системными привилегиями»
Эта цитата из отчёта подчёркивает критичность исходной уязвимости: злоумышленник получил права, позволяющие управлять системой на уровне ОС, что значительно упрощает последующую эскалацию и постэксплуатационные операции.
Атрибуция: кто стоит за атакой
Ответственный актор идентифицирован как DragonClover — финансово мотивированная группа, известная под алиасами Storm-2603 и Warlock Group. Характерные черты их деятельности:
- Целенаправленное использование уязвимостей в платформах типа SharePoint и WSUS;
- Эксплуатация неправильно сконфигурированных сервисов и развертывание легитимных DFIR-инструментов (например, Velociraptor) в злонамеренных целях;
- Использование ранее задокументированных доменных имён и учётных записей — повторяющиеся индикаторы, совпадающие с предыдущими инцидентами, что усиливает уверенность в атрибуции.
Индикаторы компрометации (IOC) и признаки в логах
Ключевые индикаторы, по которым необходимо проводить поиск в сети и логах:
- Домен C2: velo.qaubctgg.workers.dev;
- Файл/установщик: 2.msi — запуск через msiexec;
- Процессы: необычная активность WsusService.exe (инициация цепочки), msiexec, Velociraptor, code.exe с параметрами туннелирования;
- Вредоносное ПО: признаки Skuld Stealer и подозрительных PowerShell-скриптов;
- Повторное использование доменных имён и имён учётных записей, уже замеченных в предыдущих атаках DragonClover;
- Записи EDR, показывающие процессы-родители/дочерние связи: WsusService.exe → msiexec → запуск 2.msi.
Рекомендации для организаций
Инцидент демонстрирует необходимость срочных мер по защите WSUS и сопутствующей инфраструктуры. Рекомендуемые шаги:
- Немедленно установить официальные исправления и обновления, устраняющие CVE-2025-59287;
- Временно ограничить доступ к WSUS-серверам (сетевые ACL, сегментация) и проверить конфигурацию на предмет лишних привилегий;
- Произвести поиск по индикаторам компрометации в EDR/SIEM: процессы WsusService.exe, msiexec, Velociraptor, домен velo.qaubctgg.workers.dev, файл 2.msi и следы Skuld Stealer;
- Ограничить использование msiexec и внедрить application allowlisting для запрещения неавторизованных установщиков;
- Настроить egress-фильтрацию и блокировку подозрительных доменов/сервисов (включая Cloudflare Workers-адреса в случае необходимости) и мониторинг DNS-запросов;
- Провести форензик и изоляцию подозрительных узлов, собрать артефакты (дампы памяти, логи), сменить учётные данные и ключи при подтверждённом компромате;
- Внедрить или усилить многофакторную аутентификацию, разграничение прав и периодический аудит конфигураций сервиса;
- Провести proactive threat hunting по вышеуказанным IOC и по аномалиям, связанным с туннелированием и созданием сервисов.
Вывод
Инцидент подчёркивает два важных аспекта современной угрозы: во-первых, опасность уязвимостей в критичных сервисах (WSUS) и скорость, с которой злоумышленники могут их эксплуатировать; во-вторых, растущую тенденцию использования легитимных инструментов (Velociraptor, Visual Studio) в зловредных сценариях для маскировки активности. Организациям необходима оперативная реакция: своевременное применение патчей, контроль конфигураций и расширенное мониторирование поведения процессов и сетевого трафика.
Своевременные обновления, защита периферии и проактивная охота за признаками компрометации остаются ключевыми мерами для снижения риска подобных атак в будущем.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Атака DragonClover через WSUS: эксплуатация CVE-2025-59287 и Velociraptor".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.