Главная страница » Индикаторы компрометации
0
13 дней
Индикаторы компрометации

Инструмент для расследований Velociraptor стал оружием вымогателей в новой кампании

ransomware

Эксперты Cisco Talos впервые документально подтвердили использование инструмента цифровой криминалистики Velociraptor в ransomware-атаках (программы-вымогатели). Ранее этот открытый софт для расследований инцидентов безопасности не связывали однозначно с деятельностью вымогателей. С умеренной степенью уверенности активность приписывают группе Storm-2603, что основано на совпадении инструментов и тактик, техник и процедур (TTP). Также в сети жертвы обнаружены файлы, связанные с программой-вымогателем Babuk, который ранее не использовался Storm-2603.

Описание

В августе 2025 года специалисты Talos отреагировали на инцидент, где злоумышленники, судя по сообщению с требованием выкупа и использованию сайта утечек данных Warlock, были связаны с этим вымогателем. Они развернули программы-вымогатели Warlock, LockBit и Babuk для шифрования виртуальных машин VMware ESXi и серверов Windows, что нанесло серьезный ущерб ИТ-инфраструктуре заказчика.

Velociraptor - это инструмент, предназначенный для команд безопасности для мониторинга конечных точек путем развертывания клиентских агентов на системах Windows, Linux и macOS для постоянного сбора данных и реагирования на инциденты. В этой кампании Velociraptor сыграл значительную роль, обеспечивая злоумышленникам скрытый постоянный доступ во время развертывания LockBit и Babuk. После получения первоначального доступа злоумышленники установили устаревшую версию Velociraptor (0.73.4.0), уязвимую для повышения привилегий (CVE-2025-6264), что могло привести к выполнению произвольных команд и захвату контроля над конечной точкой. Также сообщается, что злоумышленники использовали Velociraptor для загрузки и запуска Visual Studio Code, вероятно, с целью создания туннеля к управляемому атакующим серверу командования и управления (C2). Включение этого инструмента в арсенал вымогателей согласуется с выводами обзора Talos за 2024 год, где подчеркивается, что злоумышленники используют все больше коммерческих и открытых продуктов.

Атрибуция группе Storm-2603 и связь с ToolShell

Talos с умеренной уверенностью приписывает эту активность группе Storm-2603 на основе совпадений в инструментах и TTP. Storm-2603 - это предполагаемая киберпреступная группа, базирующаяся в Китае, впервые идентифицированная в июле 2025 года, когда она начала эксплуатировать уязвимости в локальной версии SharePoint, известные как ToolShell. Подобно активности, наблюдавшейся в этом инциденте, Storm-2603 известна одновременным развертыванием программ-вымогателей Warlock и LockBit в одной атаке. Хотя LockBit широко используется различными группами, Warlock был впервые анонсирован в июне 2025 года и с тех пор активно применяется именно Storm-2603. Кроме того, использование двух разных вариантов программ-вымогателей в одной атаке является редкой тактикой, что увеличивает уверенность в связи с Storm-2603.

Злоумышленник в этой атаке также повторил несколько TTP, характерных для Storm-2603, согласно отчетам Microsoft: использование cmd.exe и пакетных скриптов, отключение защитных механизмов Microsoft Defender, создание запланированных задач, манипуляция компонентами Internet Information Services (IIS) для загрузки подозрительных сборок .NET и изменение объектов групповой политики (GPO). Хотя Talos не удалось установить, как именно был получен первоначальный доступ из-за ограниченной информации от пострадавшей организации, как подверженность организации уязвимостям ToolShell, так и атрибуция Storm-2603 повышают вероятность того, что первоначальный доступ был получен через их эксплуатацию.

Обзор кампании

Первые надежные признаки подозрительной активности, связанной с этой кампанией, зафиксированы в середине августа 2025 года и включали попытки повышения привилегий и перемещения внутри скомпрометированной среды. Наблюдалось создание учетных записей администратора, которые синхронизировались с Entra ID через контроллер домена. Эта же учетная запись получала доступ к консоли VMware vSphere, интерфейсу для управления виртуальными машинами, что могло обеспечить постоянный доступ к виртуальной среде.

Примечательно, что злоумышленники установили устаревшую версию Velociraptor на несколько серверов для поддержания постоянного доступа с помощью команды msiexec. Запуски Velociraptor наблюдались даже после изоляции хоста. Также выполнялась команда для запуска Smbexec, скрипта на Python из набора Impacket, позволяющего удаленно запускать программы по протоколу SMB.

Чтобы ослабить защиту и избежать обнаружения, злоумышленники изменяли групповые политики Active Directory: включали «отключение защиты в реальном времени», которая непрерывно отслеживает угрозы; отключали «мониторинг поведения», блокирующий подозрительные действия; отключали «отслеживание активности файлов и программ», наблюдающее за поведением программ для выявления вредоносных шаблонов.

Был развернут бесфайловый скрипт PowerShell с функцией шифрования, который, вероятно, являлся основным шифровальщиком для массовой атаки на машины Windows. После его выполнения на машинах Windows обнаружены исполняемые файлы, идентифицированные EDR-системами как LockBit, а файлы были зашифрованы с расширением Warlock «.xlockxlock». На серверах ESXi также найден бинарный файл для Linux, опознанный как шифровальщик Babuk, который достиг лишь частичного шифрования, добавляя к файлам расширение «.babyk». Ранее Storm-2603 не связывали с использованием Babuk.

Злоумышленники также провели двойной шантаж, похищая данные с помощью PowerShell-скрипта. Чтобы избежать обнаружения, в скрипте для вывода данных параметр "$ProgressPreference" установлен в значение "SilentlyContinue", что подавляет визуальные индикации прогресса. Также используется cmdlet "Start-Sleep", приостанавливающий выполнение скрипта на заданное время. Это может затруднять анализ в песочницах, имеющих ограниченное время работы, и позволяет избегать срабатывания сигнатур безопасности, выявляющих быстрое и непрерывное выполнение скриптов.

Индикаторы компрометации

IPv4

  • 65.38.121.226

Domains

  • stoaccinfoniqaveeambkp.blob.core.windows.net
  • velo.qaubctgg.workers.dev

URLs

  • https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml

MD5

  • 3a55d8f8f29716c694671834d8c6cb29

SHA1

  • 409a8fe50deb42fc7afc526816fd037f1bf2d709
  • 4c9beca7af8b54bd427d665907c9650660c53660
  • 6658502c86d0731d362c8b9b6ddaa9d4c86d484a
  • 69ca762f41a3adfb01e7faa744aa97decd06ff41
  • 90affd6e4f417cb166088ec6d533197472636966
  • e9e7ed5378bff8cb891dc8541d16b4ac87c25edc

SHA256

  • 12f177290a299bae8a363f47775fb99f305bbdd56bbdfddb39595b43112f9fb7
  • 649bdaa38e60ede6d140bd54ca5412f1091186a803d3905465219053393f6421
  • a29125333ad72138d299cc9ef09718ddb417c3485f6b8fe05ba88a08bb0e5023
  • c74897b1e986e2876873abb3b5069bf1b103667f7f0e6b4581fbda3fd647a74a
Комментарии: 0
Похожие записи
0
19.08.2025
Индикаторы компрометации

Киберпреступность в Японии: рост вымогательских атак в первом полугодии 2025 года

ransomware
Количество инцидентов, связанных с ransomware-атаками в Японии, в первом полугодии 2025 года увеличилось примерно в 1,4 раза по сравнению с аналогичным периодом прошлого года.
0
25.09.2025
Индикаторы компрометации

Китайские хакерские группы используют общие инструменты для атак на телекоммуникационный сектор Азии

information security
Эксперты Cisco Talos раскрыли детали продолжающейся кампании кибершпионажа, нацеленной на телеком и промышленные компании в Центральной и Южной Азии. Расследование выявило использование нового варианта