Атака DragonClover через WSUS: эксплуатация CVE-2025-59287 и Velociraptor

Анализ инцидента выявил сложную целенаправленную атаку, в основе которой лежала эксплуатация критической уязвимости в службах обновления Microsoft Windows Server (WSUS) — CVE-2025-59287. Злоумышленники добились удаленного выполнения кода (RCE) с системными привилегиями через небезопасную десериализацию объектов AuthorizationCookie, после чего развернули цепочку инструментов и вредоносных компонентов для удалённого управления и сбора данных.

Краткое содержание инцидента

• Эксплуатация уязвимости в WSUS (CVE-2025-59287) привела к выполнению кода из процесса WsusService.exe.
• Атака инициировалась через msiexec, который загружал установщик 2.msi, содержащий Velociraptor — DFIR-инструмент, перепрофилированный под удалённое управление.
• Velociraptor был настроен на подключение к C2, размещённому через Cloudflare (домен velo.qaubctgg.workers.dev), и использовался для дальнейшего развертывания компонентов.
• Злоумышленник запускал code.exe (Visual Studio) с параметрами туннелирования и повторно использовал msiexec для загрузки дополнительного вредоносного ПО.
• Дополнительно применялись инструменты типа Skuld Stealer и скрипты PowerShell для разведки и эксфильтрации данных.
• Журналы EDR зафиксировали источник атак в процессе WsusService.exe, а данные указывают, что сервер был скомпрометирован до выхода исправления для CVE-2025-59287.

Как проходила атака: цепочка действий

Аналитика показывает следующую последовательность ключевых шагов:

• Эксплуатация CVE-2025-59287 через сервис WSUS с выполнением произвольного кода в контексте системного процесса;
• Запуск msiexec для загрузки и установки пакета 2.msi;
• Развёртывание Velociraptor, конфигурация его на подключение к C2 (velo.qaubctgg.workers.dev);
• Дополнительные загрузки вредоносных модулей, выполнение code.exe с опциями туннелирования, установка сервисов и расширенное сетевое туннелирование;
• Использование Skuld Stealer и PowerShell для сбора и эксфильтрации данных;
• Постепенное расширение присутствия в сети жертвы и закрепление доступа.

«удаленное выполнение кода (RCE) с системными привилегиями»

Эта цитата из отчёта подчёркивает критичность исходной уязвимости: злоумышленник получил права, позволяющие управлять системой на уровне ОС, что значительно упрощает последующую эскалацию и постэксплуатационные операции.

Атрибуция: кто стоит за атакой

Ответственный актор идентифицирован как DragonClover — финансово мотивированная группа, известная под алиасами Storm-2603 и Warlock Group. Характерные черты их деятельности:

• Целенаправленное использование уязвимостей в платформах типа SharePoint и WSUS;
• Эксплуатация неправильно сконфигурированных сервисов и развертывание легитимных DFIR-инструментов (например, Velociraptor) в злонамеренных целях;
• Использование ранее задокументированных доменных имён и учётных записей — повторяющиеся индикаторы, совпадающие с предыдущими инцидентами, что усиливает уверенность в атрибуции.

Индикаторы компрометации (IOC) и признаки в логах

Ключевые индикаторы, по которым необходимо проводить поиск в сети и логах:

• Домен C2: velo.qaubctgg.workers.dev;
• Файл/установщик: 2.msi — запуск через msiexec;
• Процессы: необычная активность WsusService.exe (инициация цепочки), msiexec, Velociraptor, code.exe с параметрами туннелирования;
• Вредоносное ПО: признаки Skuld Stealer и подозрительных PowerShell-скриптов;
• Повторное использование доменных имён и имён учётных записей, уже замеченных в предыдущих атаках DragonClover;
• Записи EDR, показывающие процессы-родители/дочерние связи: WsusService.exe → msiexec → запуск 2.msi.

Рекомендации для организаций

Инцидент демонстрирует необходимость срочных мер по защите WSUS и сопутствующей инфраструктуры. Рекомендуемые шаги:

• Немедленно установить официальные исправления и обновления, устраняющие CVE-2025-59287;
• Временно ограничить доступ к WSUS-серверам (сетевые ACL, сегментация) и проверить конфигурацию на предмет лишних привилегий;
• Произвести поиск по индикаторам компрометации в EDR/SIEM: процессы WsusService.exe, msiexec, Velociraptor, домен velo.qaubctgg.workers.dev, файл 2.msi и следы Skuld Stealer;
• Ограничить использование msiexec и внедрить application allowlisting для запрещения неавторизованных установщиков;
• Настроить egress-фильтрацию и блокировку подозрительных доменов/сервисов (включая Cloudflare Workers-адреса в случае необходимости) и мониторинг DNS-запросов;
• Провести форензик и изоляцию подозрительных узлов, собрать артефакты (дампы памяти, логи), сменить учётные данные и ключи при подтверждённом компромате;
• Внедрить или усилить многофакторную аутентификацию, разграничение прав и периодический аудит конфигураций сервиса;
• Провести proactive threat hunting по вышеуказанным IOC и по аномалиям, связанным с туннелированием и созданием сервисов.

Вывод

Инцидент подчёркивает два важных аспекта современной угрозы: во-первых, опасность уязвимостей в критичных сервисах (WSUS) и скорость, с которой злоумышленники могут их эксплуатировать; во-вторых, растущую тенденцию использования легитимных инструментов (Velociraptor, Visual Studio) в зловредных сценариях для маскировки активности. Организациям необходима оперативная реакция: своевременное применение патчей, контроль конфигураций и расширенное мониторирование поведения процессов и сетевого трафика.

Своевременные обновления, защита периферии и проактивная охота за признаками компрометации остаются ключевыми мерами для снижения риска подобных атак в будущем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.