СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Артем
31.08.2025
#ИБ#Облака

Sophos: инструмент Velociraptor используется злоумышленниками для организации туннелей и удалённого доступа через Visual Studio Code

Sophos: инструмент Velociraptor используется злоумышленниками для организации туннелей и удалённого доступа через Visual Studio Code

изображение: recraft

Исследовательская группа Sophos Counter Threat Unit опубликовала отчёт об инциденте, в котором злоумышленники задействовали легитимный инструмент Velociraptor с открытым исходным кодом, предназначенный для цифрового криминалистического анализа и мониторинга конечных точек. Этот случай стал ещё одним подтверждением растущей практики применения доверенного программного обеспечения в рамках вредоносных сценариев.

По данным отчёта, в ходе атаки использовалась утилита Windows msiexec, с помощью которой загружался MSI-файл из домена Cloudflare Workers. Этот файл устанавливал Velociraptor, который затем устанавливал связь с другим доменом в том же облачном сервисе. Через этот канал злоумышленники инициировали загрузку и запуск среды Visual Studio Code, применяя команду PowerShell, переданную в зашифрованном виде.

Редактор запускался с опциями, открывающими возможности туннелирования и удалённого управления. Такой подход предоставлял доступ к системе без необходимости внедрения собственных вредоносных программ. Вместо этого использовались надёжные, хорошо зарекомендовавшие себя инструменты, применяемые в корпоративной среде для сопровождения и диагностики.

Помимо этого, было зафиксировано повторное использование msiexec для загрузки дополнительных компонентов с домена works[.]dev. Среди прочего применялись утилиты Cloudflare Tunnel и Radmin, позволяющие организовывать стабильные каналы удалённого взаимодействия.

В документе подчёркивается, что тактика, при которой злоумышленники используют программы, изначально предназначенные для реагирования на инциденты, говорит о смене стратегического подхода. Вместо классических вирусов применяются методы LotL (Living off the Land) — использование системных утилит и обычных корпоративных средств для закрепления в инфраструктуре.

Компания Sophos заявила, что организациям следует отслеживать и анализировать случаи применения Velociraptor, особенно при отсутствии явной причины для его использования. Обнаружение этого инструмента вне рамок регламентной деятельности может указывать на подготовку к внедрению программ-вымогателей.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: