Хакеры превратили форензик-инструмент Velociraptor в туннель для C2-сервера

Исследователи кибербезопасности зафиксировали атаку, в которой злоумышленники использовали не собственное вредоносное ПО, а легитимный open-source инструмент для мониторинга конечных точек и цифровой криминалистики Velociraptor. С его помощью они незаметно доставили на заражённую машину Visual Studio Code — и превратили редактор кода в туннель до сервера управления.

Как разворачивалась атака

По данным команды Sophos Counter Threat Unit Research Team, опубликовавшей отчёт об инциденте, атакующие использовали стандартную утилиту Windows msiexec, чтобы скачать MSI-установщик с домена на платформе Cloudflare Workers. Этот же домен служил площадкой для других инструментов группировки — туннелирующей утилиты Cloudflare и программы удалённого администрирования Radmin.

Установщик разворачивал сам Velociraptor, который затем связывался с ещё одним доменом на Cloudflare Workers. Через это соединение с того же сервера с помощью закодированной PowerShell-команды загружался Visual Studio Code — редактор запускался с включённой опцией туннелирования, что давало атакующим и удалённый доступ, и возможность удалённого выполнения кода. Позже msiexec применялся повторно — для загрузки дополнительных полезных нагрузок из каталога на workers[.]dev.

В Sophos подчёркивают: использование инструментов реагирования на инциденты для закрепления в системе — это тактическая эволюция классических техник Living off the Land, позволяющая злоумышленникам обходиться без развёртывания собственного вредоносного кода. Компания рекомендует отслеживать несанкционированное использование Velociraptor и рассматривать такие случаи как предвестник атаки шифровальщика, внедрять EDR-системы, следить за неожиданными инструментами в сети и соблюдать практики резервного копирования.

Ответ Rapid7: как обнаружить злоупотребление

После публикации материала компания Rapid7, разработчик и сопровождающий Velociraptor, заявила изданию The Hacker News, что ей известно о случаях злоупотребления инструментом. В компании отметили, что Velociraptor широко используется специалистами по защите для легитимных задач расследования и реагирования, но, как и любой другой административный или security-инструмент, может быть обращён во вред при попадании в чужие руки.

Rapid7 опубликовала документ с индикаторами компрометации для обнаружения подобной активности:

  • время изменения ключа реестра Windows HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\Velociraptor;
  • запись аргументов командной строки, с которыми запускался бинарник, в журнал событий Application с идентификатором события 1000;
  • запуск неподписанных бинарных файлов — признак модифицированной версии open-source инструмента.

Материал был обновлён 3 сентября 2025 года с учётом этого ответа Rapid7.

Параллельно: фишинг через Microsoft Teams и ADFS

Публикация вышла на фоне отчёта компаний Hunters и Permiso о кампании, использующей Microsoft Teams как канал первичного проникновения. Атакующие с новых или скомпрометированных аккаунтов организации отправляют жертвам прямые сообщения или звонят, выдавая себя за сотрудников техподдержки, и убеждают установить легитимные программы удалённого доступа — AnyDesk, DWAgent или Quick Assist. Похожая тактика с 2024 года связывается с группировкой Black Basta, но новые кампании обходятся без предварительной «бомбардировки» жертвы спамом и сразу доставляют PowerShell-полезную нагрузку для кражи учётных данных, закрепления в системе и удалённого выполнения кода.

Исследователь Permiso Исуф Делиу отметил, что предлоги для контакта маскируются под рутинную техподдержку — «проблемы с производительностью Teams» или «системное обслуживание», чтобы не вызывать подозрений. Похожие приёмы применялись в прошлом году для распространения вредоносных программ DarkGate и Matanbuchus. В некоторых случаях жертве показывают поддельный запрос ввода пароля Windows под видом обычной настройки системы — введённые данные сохраняются в текстовый файл на устройстве. Исследователи Алон Клейман и Томер Кахлон рекомендуют командам SOC отслеживать журналы аудита ChatCreated и MessageSent и обучать сотрудников распознавать имитацию техподдержки.

Отдельно специалисты Push Security описали кампанию вредоносной рекламы, объединяющую легитимные ссылки на office.com со службой Active Directory Federation Services (ADFS) для перенаправления пользователей на фишинговые страницы, имитирующие вход в Microsoft 365. Жертва переходит по спонсированной ссылке в поисковой выдаче, попадает в цепочку редиректов и оказывается на поддельной странице входа. По словам исследователя Push Security Люка Дженнингса, атакующие развернули собственный тенант Microsoft с настроенным ADFS, из-за чего сама Microsoft выполняет переадресацию на вредоносный домен. Формально это не уязвимость, но такая возможность серьёзно усложняет детектирование фишинга по URL.

Источник: The Hacker News.