Cisco Talos: Velociraptor применяется в атаках Storm-2603
Недавний анализ, проведенный Cisco Talos, показал: злоумышленники стали применять Velociraptor — открытый инструмент цифровой криминалистики и реагирования на инциденты (DFIR) — в рамках кампаний с последующим шифрованием данных. Это примечательно: ранее Velociraptor не был прямо связан с такими инцидентами.
Суть обнаруженного
По данным Talos, текущая активность, вероятно, связана со злоумышленником, отмеченным как Storm-2603. В пользу этой атрибуции указывают несколько фактов, в том числе обнаружение файлов-вымогателей Babuk в сетях жертв — файлов, которые ранее не приписывали Storm-2603.
Как злоумышленники используют Velociraptor
Velociraptor предназначен для помощи командам безопасности в мониторинге конечных точек: он позволяет развертывать клиентские агенты на Windows, Linux и Mac, обеспечивая непрерывный сбор данных и оперативное исследование событий. Эти возможности делают инструмент привлекательным и для злоумышленников, стремящихся расширить свои оперативные возможности — от быстрого сбора артефактов до автоматизации перемещений и поиска привилегированных учетных записей.
Индикаторы активности и техника атаки
- Атрибуция: Cisco Talos отмечает связь с Storm-2603 с умеренной уверенностью.
- Используемые уязвимости: группа известна эксплуатацией уязвимостей ToolShell в локальном SharePoint для начального доступа.
- Хронология: высокодостоверные индикаторы вредоносной активности появились в середине августа 2025 года — включая повышение привилегий и латеральное перемещение внутри сети.
- Поддержание доступа: злоумышленники создавали административные учетные записи, которые синхронизировались с Entra ID (ранее Azure Active Directory) через контроллер домена — механизм, который может обеспечить долгосрочный доступ.
- Эксплуатация виртуальной инфраструктуры: эти административные учетные записи использовались для доступа к консоли VMware vSphere, что могло обеспечить устойчивое присутствие во виртуальной экосистеме и расширить поверхность атаки.
«Talos с умеренной уверенностью связывает эту активность со Storm-2603.»
Последствия для пострадавших организаций
Комбинация инструментов и техник — от использования легитимного DFIR‑инструмента до создания синхронизируемых с Entra ID аккаунтов и доступа к vSphere — повышает риск долговременного и скрытого доступа. Такой набор действий облегчает злоумышленникам:
- длительное удержание доступа в сети;
- сложность обнаружения активности, маскируемой под административные или служебные операции;
- возможность масштабирования атаки за счет виртуализированных ресурсов.
Рекомендации по защите
Исходя из описанной тактики, Cisco Talos и специалисты по кибербезопасности рекомендуют обратить внимание на следующие меры:
- Мониторинг и аудит развертываний Velociraptor: проверяйте, кто и где разворачивает агенты; отслеживайте нетипичную активность клиента.
- Аудит учетных записей, синхронизируемых с Entra ID: выявляйте недавно созданные администраторские аккаунты и проверяйте механизмы синхронизации через контроллер домена.
- Контроль доступа к VMware vSphere: ограничьте консольный доступ, внедрите многофакторную аутентификацию и мониторинг сессий администратора.
- Закрытие известных векторов начального доступа: патчите и мониторьте компоненты, использующиеся в атаках (SharePoint, связанный со ToolShell).
- Повышение готовности IR: отработайте процедуры реагирования на случаи выявления легитимных инструментов DFIR в необычных контекстах.
Вывод
Случай, описанный Cisco Talos, иллюстрирует растущую тенденцию злоупотребления легитимными инструментами безопасности злоумышленниками. Наличие в инциденте Velociraptor, синхронизируемых с Entra ID админ‑аккаунтов и доступов к VMware vSphere делает такие кампании особенно опасными. Организациям следует усилить контроль за развёртыванием инструментов мониторинга и уделять повышенное внимание аномалиям в административных учетных записях и доступах к виртуальной инфраструктуре.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
