Эксперты по кибербезопасности из компании Huntress зафиксировали серию инцидентов, в которых злоумышленники используют легитимный инструмент для цифровой криминалистики и реагирования на инциденты (DFIR) Velociraptor для установки зловредного командного центра (C2). Анализ трёх отдельных атак, произошедших в сентябре и ноябре, выявил как общие черты, так и эволюцию тактик противника.
Описание
Во всех трёх случаях конечной целью было внедрение Velociraptor на скомпрометированные системы. Этот открытый инструмент, предназначенный для защитников, был настроен злоумышленниками для получения удалённого доступа и управления конечными точками. При этом наблюдались перекрывающиеся индикаторы компрометации (IoC), например, одинаковый тег аккаунта для туннелей Cloudflare и один источник загрузки MSI-файлов.
Первый инцидент, обнаруженный 9 сентября у клиента из сельскохозяйственного сектора, начался с эксплуатации уязвимостей цепочки ToolShell в SharePoint. Это позволило злоумышленникам обойти аутентификацию и выполнить код, установив сначала OpenSSH, а затем Velociraptor через скомпрометированный экземпляр w3wp.exe. Далее актор создал туннель Cloudflare для маскировки C2-трафика и попытался установить помеченный как вредоносный инструмент SecurityCheck. Финальной стадией атаки стала разведка Active Directory с помощью ADExplorer и доменных команд.
Второй случай, произошедший 15 сентября, также был связан с уязвимостью ToolShell в SharePoint у управляемого сервис-провайдера. Интересно, что Huntress уже сообщали об активных попытках эксплуатации на этом сервере в июле, но уязвимость осталась неисправленной. Злоумышленники использовали веб-шелл для установки Velociraptor, который был настроен как служба Windows с правами SYSTEM, обеспечив себе устойчивость и высокие привилегии. Для создания резервного канала C2 акторы через Velociraptor запустили PowerShell, загрузивший Visual Studio Code (code.exe), чтобы создать туннель через доверенный домен.
Третий инцидент, расследованный в начале ноября, был связан с атакой программой-вымогателем Warlock. Агент Huntress был установлен уже в процессе компрометации, что ограничило видимость. Однако анализ показал, что акторы также развернули Velociraptor на нескольких конечных точках. В этом случае наблюдались любопытные ошибки злоумышленников: несколько неудачных попыток установить Cloudflare до отключения Defender, попытка запустить не установленный OpenSSH и ошибки в командах создания пользователя. Для расширения доступа использовались туннелирование через VS Code, установка TightVNC и того же инструмента SecurityCheck.
Важной деталью стало совпадение имени хоста (DESKTOP-C1N9M) с данными из правительственного консультативного сообщения Сингапура за август, которое связывало активность с финансово мотивированным кластером Storm-2603. Этот кластер ранее использовал ToolShell для атак на SharePoint с последующим развёртыванием Warlock.
Несмотря на разные векторы начального доступа - эксплуатация уязвимостей в WSUS или компрометация SharePoint через веб-шеллы - пост-эксплуатационная активность демонстрировала сходство. В частности, MSI-файлы в двух инцидентах загружались с одного домена. Кроме того, акторы последовательно пытались создать дополнительные каналы управления через туннели Cloudflare и VS Code, а также предпринимали шаги для повышения уровня привилегий и сбора информации. Эти случаи наглядно иллюстрируют тренд на использование легитимных инструментов (LOLBin) для маскировки вредоносной активности и подчёркивают критическую важность своевременного исправления уязвимостей в публично доступных системах.
Индикаторы компрометации
Domains
- chat.hcqhajfv.workers.dev
- royal-boat-bf05.qgtxtebl.workers.dev
- update.githubtestbak.workers.dev
SHA256
- 040d7ee5b7bb0b978220be326804fa827f6284c8478a27af88c616fcacfeb423
- c70fafe5f9a3e5a9ee7de584dd024cb552443659f06348398d3873aa88fd6682
