СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
5 декабря
#ИБ

Velociraptor в центре постэксплуатации: WSUS, SharePoint и Warlock

Серія недавних инцидентов выявила устойчивую тактику злоумышленников, которые используют Velociraptor — инструмент цифровой криминалистики и реагирования на инциденты с открытым исходным кодом — для организации каналов управления (C2) после успешной начальной компрометации. Несмотря на разные векторы входа, исследователи отмечают общие операционные шаблоны, указывающие на скоординированное или повторяющееся использование одних и тех же инструментов и методов.

Краткая хронология ключевых инцидентов

  • 9 сентября — на конечной точке клиента из аграрного сектора обнаружены вредоносные инструменты.
  • 15 сентября — подтверждён инцидент с вредоносной активностью, исходящей из сети управляемого поставщика услуг (MSP).
  • Июль — Huntress SOC ранее уведомляла партнёра о попытках эксплуатации уязвимостей SharePoint: CVE-2025-53770 и CVE-2025-53771; зафиксированы попытки развернуть web shell, которые остались неустранёнными после первого уведомления.
  • Начало ноября — атака с использованием Warlock ransomware; расследование показало установку Velociraptor 5 ноября на нескольких конечных точках для удалённого исполнения команд.
  • 12 ноября — эксплуатация уязвимости в службах обновления Windows Server (WSUS), что также привело к установке Velociraptor.

Что именно делали злоумышленники — TTPs

Несколько ключевых методик, повторяющихся в расследовании:

  • Различные векторы начального доступа: эксплуатация WSUS, уязвимостей SharePoint (CVE-2025-53770, CVE-2025-53771), компрометация инфраструктуры MSP.
  • Постэксплуатация с использованием Velociraptor: установка Velociraptor на конечных точках для организации удалённого выполнения команд и постоянной связи с C2.
  • Попытки развернуть Cloudflare в качестве туннеля: несколько попыток были заблокированы Windows Defender, однако позже злоумышленникам удалось отключить Windows Defender и завершить установку.
  • Использование Visual Studio Code (process: code.exe) как метод прокладки туннелей: применение легитимного ПО для маскировки и расширения доступа внутри сети.
  • Warlock ransomware: сопутствующая атаку записка с требованием выкупа подчёркивала новизну варианта и отсылала к прежним тактикам, где злоумышленники использовали код Visual Studio для создания инфраструктуры C2.

«Velociraptor был центральным инструментом на этапе постэксплуатации», — подчёркивает расследование, указывая на повторяющуюся связь между инцидентами.

Анализ угрозы и оперативное поведение

Несмотря на разнообразие начальных векторов, все инциденты демонстрируют одно ключевое совпадение: злоумышленники целенаправленно развёртывали Velociraptor для удержания доступа и управления инфраструктурой. Настройки экземпляров Velociraptor связывались с доменами, уже замеченными в предыдущих атаках, что указывает на повторное использование инфраструктуры и, возможно, на общую группу или шаблон поведения.

Применение Visual Studio Code как туннеля и попытки внедрить Cloudflare показывают стремление злоумышленников маскировать C2 трафик под легитимные сервисы и процессы, а отключение Windows Defender — классическая постэксплуатационная активность для длительного нахождения в среде.

Практические рекомендации для организаций

  • Быстрая проверка и патчинг уязвимостей в WSUS и SharePoint (включая CVE-2025-53770 и CVE-2025-53771).
  • Мониторинг и контроль установленных экземпляров Velociraptor: поведение процессов, необычные связи с внешними доменами, конфигурации C2.
  • Отслеживание запуска process: code.exe в нетипичных контекстах (серверы, службы, непривилегированные учётные записи) и анализ сетевой активности от Visual Studio Code.
  • Защита и контроль целостности Windows Defender: предотвращение его отключения политиками, EDR-контролями и журналированием изменений.
  • Выявление и удаление web shell, проверки журналов IIS/SharePoint на аномальные запросы и загрузки файлов.
  • Блокировка и расследование подозрительных доменов/инфраструктуры, ассоциируемой с предыдущими инцидентами; применение Threat Intelligence для корреляции индикаторов компрометации.
  • План реагирования: регулярные учения по инцидент-рееспонсу, бэкапы, сегментация сети для ограничения распространения ransomware.

Вывод

Серия инцидентов демонстрирует эволюцию угроз: злоумышленники превращают инструменты для защиты и расследований, такие как Velociraptor, в эффективные средства управления и удержания доступа. Ключевым выводом для ИБ‑сообщества является необходимость не только своевременного патчинга и базовой защиты, но и глубокого мониторинга поведения процессов, контроля легитимных инструментов разработки и анализа сетевых связей. Только комплексный подход позволит снизить риск повторного использования тех же TTPs и ограничить ущерб от целенаправленных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: