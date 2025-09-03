ИБ-специалисты Sophos обратили внимание на кибератаку, в рамках которой неизвестные злоумышленники использовали опенсорсный форензик-инструмент для мониторинга эндпоинтов Velociraptor.

«В этом инциденте атакующие использовали инструмент для загрузки и запуска Visual Studio Code с вероятным намерением создать туннель к подконтрольному им управляющему серверу», — рассказывают эксперты Sophos Counter Threat Unit.

В отчете отмечается, что злоумышленники нередко применяют тактики living-off-the-land (LotL) и используют легитимные инструменты для удаленного мониторинга и управления в атаках, однако использование Velociraptor сигнализирует об эволюции таких тактик, когда софт для реагирования на инциденты используется во вредоносных целях.

Как показал анализ этого инцидента, атакующие использовали Windows-утилиту msiexec для загрузки MSI-установщика с домена Cloudflare Workers, который также служит плацдармом для других используемых хакерами решений, включая инструмент туннелирования Cloudflare и утилиту удаленного администрирования Radmin.

MSI-файл предназначался для развертывания Velociraptor, который затем устанавливал связь с другим доменом Cloudflare Workers. После этого полученный доступ использовался для загрузки Visual Studio Code с того же промежуточного сервера с помощью закодированной PowerShell-команды и его запуска с включенной опцией туннелирования, чтобы обеспечить как удаленный доступ, так и удаленное выполнение кода.

Кроме того, злоумышленники были замечены в повторном использовании утилиты Windows msiexec для загрузки дополнительных пейлоадов.

«Организациям следует отслеживать и расследовать несанкционированное применение Velociraptor и рассматривать использование такой тактики как преддверие развертывания вымогательского ПО», — предупреждают в Sophos.

После публикации этого отчета Sophos ИБ-компания Rapid7, которая разрабатывает Velociraptor, выпустила документ, который детально описывает, как специалисты организаций могут обнаружить злоупотребление Velociraptor в своих средах.