Киберпреступники атакуют корпоративные сети через уязвимости в WSUS с помощью легитимного инструмента Velociraptor

По данным аналитиков Huntress, киберпреступники сначала эксплуатируют уязвимость CVE-2025-59287 в службе Windows Server Update Services (WSUS), которая представляет собой централизованную систему распределения обновлений для администраторов IT. Эта уязвимость десериализации была исправлена Microsoft 23 октября, однако многие системы остаются незащищенными.

После получения первоначального доступа злоумышленники устанавливают Velociraptor - открытое программное обеспечение, предназначенное для сбора и анализа артефактов безопасности в сетях. Хотя этот инструмент создан для помощи специалистам по реагированию на инциденты, преступники адаптировали его для организации каналов управления командными серверами.

В конкретном инциденте, обнаруженном 12 ноября, журналы событий Windows показали, что злоумышленники скомпрометировали процесс WSUSService.exe, после чего запустили установщик Windows и инсталлировали вредоносный MSI-пакет с домена s3[.]wasabisys[.]com. Затем был установлен Velociraptor, настроенный на взаимодействие с конечной точкой update[.]githubtestbak[.]workers[.]dev.

Интересно, что после успешной первой установки инструмента преступники предприняли еще две попытки запустить ту же команду установки из того же местоположения. Это может указывать на автоматизированный характер атаки или попытку обеспечить устойчивость присутствия в системе.

После установки Velociraptor аналитики наблюдали серию команд PowerShell, закодированных в base64, которые запускались как дочерние процессы Velociraptor.exe. Эти команды выполняли разведывательные запросы, позволяя злоумышленникам собирать информацию о пользователях, запущенных службах и конфигурациях сети. Среди выполняемых команд были net.exe для получения информации о доменных компьютерах, quser.exe для данных о активных пользователях, setspn.exe для запросов службы VeeamBackup и ipconfig.exe для сбора сетевой конфигурации.

Данный случай эксплуатации WSUS представляет особый интерес при сравнении с предыдущими инцидентами, связанными с Velociraptor. Например, исследователи Cisco Talos в октябре обнаружили активность этого инструмента, которую с средней уверенностью приписали группе Storm-2603. Хотя первоначальный вектор доступа в том случае не был установлен, эксперты предположили, что им могли стать уязвимости SharePoint, известные как ToolShell.

Velociraptor стал лишь последним в длинной череде легитимных инструментов, которые злоумышленники приспособили для вредоносных целей. Ранее аналогичная судьба постигла такие средства тестирования на проникновение двойного назначения, как Cobalt Strike, Mimikatz, Metasploit и PowerSploit. Как отмечается в отчете Huntress о киберугрозах за 2025 год, эта тенденция продолжает набирать обороты.

Эксперты подчеркивают, что злоупотребление легитимными инструментами безопасности стало устойчивой тактикой современных киберпреступников. При этом Velociraptor вряд ли станет последним открытым инструментом двойного назначения, используемым в атаках. Однако тщательное отслеживание поведения в инцидентах с его участием позволяет лучше понять, как злоумышленники развертывают подобные средства в средах жертв.

Аналитики Huntress успешно локализовали активность злоумышленников в описанном инциденте. Тем не менее, компания продолжает отслеживать многочисленные случаи использования Velociraptor в других атаках за последние месяцы. Более подробный анализ эволюции этих инцидентов и дополнительные данные о misuse инструмента будут представлены во второй части данного исследования.

Domains

• s3.wasabisys.com
• update.githubtestbak.workers.dev