Группа Velvet Tempest использует технику ClickFix и легитимные утилиты Windows для развертывания DonutLoader и бэкдора CastleRAT. Исследователи MalBeacon зафиксировали 12-дневную активность хакеров, связанных с Ryuk, REvil и LockBit. — bleepingcomputer.com
Участники программ-вымогателей, отслеживаемые как Velvet Tempest, используют технику ClickFix и легитимные утилиты Windows для развертывания вредоносного ПО DonutLoader и бэкдора CastleRAT.
Исследователи из фирмы по анализу угроз кибердецепции MalBeacon зафиксировали действия хакеров в эмулированной корпоративной среде в течение 12 дней.
Velvet Tempest, также известная как DEV-0504, — это группа злоумышленников, которая как минимум пять лет участвует в атаках программ-вымогателей в качестве аффилированного лица.
Этот субъект ассоциировался с развертыванием некоторых из наиболее разрушительных штаммов программ-вымогателей: Ryuk (2018–2020), REvil (2019–2022), Conti (2019–2022), BlackMatter, BlackCat/ALPHV (2021–2024), LockBit и RansomHub.
Атака была зафиксирована MalBeacon в период с 3 по 16 февраля в реплицированной среде некоммерческой организации в США с более чем 3000 конечных точек и свыше 2500 пользователями.
Получив доступ, операторы Velvet Tempest проводили действия с непосредственным участием (hands-on keyboard), включая разведку Active Directory, обнаружение хостов и профилирование среды, а также использовали скрипт PowerShell для сбора учетных данных, хранящихся в Chrome.
Скрипт размещался на IP-адресе, который исследователи связали с подготовкой инструментов для вторжений программы-вымогателя Termite.
По данным исследователей, Velvet Tempest получила первоначальный доступ посредством кампании малвертайзинга, которая привела к комбинации ClickFix и CAPTCHA, предписывающей жертвам вставить обфусцированную команду в диалоговое окно «Выполнить» Windows.
Вставленная команда запускала вложенные цепочки cmd.exe и использовала finger.exe для получения первых загрузчиков вредоносного ПО. Одним из полезных грузов был архивный файл, замаскированный под PDF-файл.
На последующих этапах Velvet Tempest использовала PowerShell для загрузки и выполнения команд, которые получали дополнительные полезные нагрузки, компилировали компоненты .NET через csc.exe во временных каталогах и развертывали компоненты на основе Python для обеспечения постоянства в C:\ProgramData.
В конечном итоге операция подготовила DonutLoader и получила бэкдор CastleRAT — троян удаленного доступа, связанный с загрузчиком вредоносного ПО CastleLoader, известным распространением нескольких семейств RAT и стилсеров информации, таких как LummaStealer.
Программа-вымогатель Termite ранее атаковала громких жертв, таких как SaaS-провайдер Blue Yonder и австралийский гигант в области ЭКО Genea.
Хотя Velvet Tempest обычно ассоциируется с атаками двойного вымогательства, при которых системы жертвы шифруются после кражи данных компании, в отчете MalBeacon отмечается, что в наблюдаемом вторжении этот субъект не развертывал программу-вымогатель Termite.
Несколько операторов программ-вымогателей внедрили технику CkickFix в свои атаки. Sekoia сообщила в апреле 2025 года, что банда, стоящая за Interlock, использовала этот метод социальной инженерии для взлома корпоративных сетей.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas