Уязвимость WSUS в сердце цепочки атак: легитимный инструмент Velociraptor стал оружием

Инцидент начался с обнаружения системой безопасности двух подозрительных активностей. Первая представляла собой запуск оснастки консоли управления "wsus.msc" из процесса "mmc.exe", что само по себе не является аномалией для администратора. Однако второе событие сразу привлекло внимание: процесс "msiexec.exe" выполнял тихую установку пакета MSI, загруженного с внешнего ресурса, размещённого на платформе Cloudflare Workers. Попытка связать эти события с известным кейсом злоупотребления Velociraptor, описанным Sophos, натолкнулась на противоречие. В отчёте Sophos вектор первоначального доступа не был раскрыт, а в текущем инциденте команда на установку MSI выглядела как результат ручного взаимодействия пользователя, что не соответствовало типичной картине автоматизированной атаки.

Этот факт поставил перед аналитиками ключевой вопрос: была ли установка действительно инициирована вручную или это лишь видимость, созданная более сложным механизмом компрометации? Глубинный анализ, избегающий поспешных выводов, позволил восстановить истинную последовательность событий. Исследователи обнаружили, что дочерние процессы, указывающие на атаку, происходили от "WsusService.exe", а процесс "wsus.msc" был создан уже после этого в процессе дерева. Более того, использование утилиты "nslookup.exe" для проверки успешности атаки характерно для удалённых сценариев. Критически важным доказательством стало то, что целевой сервер работал без обновлений с момента публикации патча для CVE-2025-59287, а внешний IP-адрес организации имел открытый 8530-й порт WSUS, что подтверждалось данными из Censys.

Собранные улицы чётко указывали на эксплуатацию уязвимости CVE-2025-59287. Эта критическая уязвимость удалённого выполнения кода (RCE) в WSUS, не требующая аутентификации, была активно использована в кампаниях с октября 2025 года, о чём последовательно сообщали eSentire, Bitdefender и другие вендоры. Злоумышленники, получив начальный доступ через WSUS, развернули многоэтапную атаку. Их целью стало внедрение скомпрометированной версии Velociraptor - мощного open-source инструмента для цифровой криминалистики и реагирования на инциденты. В руках атакующих он превратился в персистентный бэкдор, предоставляющий полный контроль над системой под видом легитимной службы. Ссылка на исследование Talos Intelligence, где также описывалось развёртывание Velociraptor через RCE в рамках кампаний программ-вымогателей, стала ещё одним подтверждением тактики отчёт Talos Intelligence.

Использование легитимных инструментов, тактика, известная как «Living off the Land» (LOTL), значительно усложняет обнаружение. Velociraptor, будучи подписанным цифровой подписью и предназначенным для администрирования, часто исключается из списков подозрительных процессов. Атакующие, установив его, получают в распоряжение богатый арсенал для сбора данных, перемещения по сети и выполнения произвольных команд, маскируя свою активность под действия администратора безопасности. В данном случае вредоносный MSI-пакет, загруженный с облачного сервиса, содержал именно такую скомпрометированную версию клиента Velociraptor.

Последствия подобного инцидента могут быть катастрофическими. От первоначальной компрометации одного сервера до полного контроля над доменом - один шаг. Уязвимость в WSUS, являющемся центром доверия для обновлений, подрывает основы безопасности всей инфраструктуры. А наличие такого инструмента, как Velociraptor, позволяет злоумышленникам долгое время оставаться незамеченными, готовя почву для масштабной утечки данных или атаки программ-вымогателей.

В свете этого анализа становятся очевидны и меры защиты.

• Критически важно незамедлительно применять патчи, особенно для таких ключевых служб, как WSUS. CVE-2025-59287 служит суровым напоминанием о цене промедления.
• Необходима строгая сегментация сети и контроль исходящего трафика, чтобы заблокировать возможность загрузки произвольных пакетов с внешних ресурсов, даже с легитимных платформ вроде Cloudflare Workers.
• Мониторинг поведения должен фокусироваться не только на известных вредоносных файлах, но и на аномальном использовании легитимных административных инструментов, особенно их нестандартных конфигурациях или запуске из неожиданных родительских процессов.
• Наличие открытых портов критических служб в интернете должно быть минимизировано или защищено с помощью VPN и брандмауэров прикладного уровня.

Только комплексный подход, сочетающий своевременное обновление, грамотную архитектуру безопасности и поведенческий анализ, может противостоять подобным изощрённым цепочкам эксплуатации.

Domains

• auth.qgtxtebl.workers.dev
• chat.hcqhajfv.workers.dev
• update.githubtestbak.workers.dev
• v-api.micorsoft.net
• velo.qaubctgg.workers.dev

URLs

• http://files.qaubctgg.workers.dev/v2.msi
• https://royal-boat-bf05.qgtxtebl.workers.dev/v3.msi
• https://s3.wasabisys.com/kiessler/v4.msi
• https://stoaccinfoniqaveeambkp.blob.core.windows.net/veeam/v.msi
• https://stoaccinfoniqaveeambkp.blob.core.windows.net/veeam/v2.msi
• https://upload.jbowpxyy.workers.dev/v4.msi
• https://vdfccjpnedujhrzscjtq.supabase.co/storage/v1/object/public/image/v4.msi

SHA256

• 12f177290a299bae8a363f47775fb99f305bbdd56bbdfddb39595b43112f9fb7
• 46831be6e577e3120084ee992168cca5af2047d4a08e3fd67ecd90396393b751
• 649bdaa38e60ede6d140bd54ca5412f1091186a803d3905465219053393f6421
• 79875ba9c08aafc55f3ef78b44883708d58f3db456d2c842a318d01744a3e7e7
• 8b3d49e328ddc0d9ec08789e3db2f5c3da54d04efdaa746f4e68858448d5e5de
• a84edaa8cdf3f08843380c5275872e9303bcf93360629d3946eae5136428f143

• JSAC2026_2_6_shohei_iwata-teruki_yoshikawa_en.pdf