ИБ-специалисты Sophos обратили внимание на кибератаку, в рамках которой неизвестные злоумышленники использовали опенсорсный форензик-инструмент для мониторинга эндпоинтов Velociraptor.
«В этом инциденте атакующие использовали инструмент для загрузки и запуска Visual Studio Code с вероятным намерением создать туннель к подконтрольному им управляющему серверу», — рассказывают эксперты Sophos Counter Threat Unit.
В отчете отмечается, что злоумышленники нередко применяют тактики living-off-the-land (LotL) и используют легитимные инструменты для удаленного мониторинга и управления в атаках, однако использование Velociraptor сигнализирует об эволюции таких тактик, когда софт для реагирования на инциденты используется во вредоносных целях.
Как показал анализ этого инцидента, атакующие использовали Windows-утилиту msiexec для загрузки MSI-установщика с домена Cloudflare Workers, который также служит плацдармом для других используемых хакерами решений, включая инструмент туннелирования Cloudflare и утилиту удаленного администрирования Radmin.
MSI-файл предназначался для развертывания Velociraptor, который затем устанавливал связь с другим доменом Cloudflare Workers. После этого полученный доступ использовался для загрузки Visual Studio Code с того же промежуточного сервера с помощью закодированной PowerShell-команды и его запуска с включенной опцией туннелирования, чтобы обеспечить как удаленный доступ, так и удаленное выполнение кода.
Кроме того, злоумышленники были замечены в повторном использовании утилиты Windows msiexec для загрузки дополнительных пейлоадов.
«Организациям следует отслеживать и расследовать несанкционированное применение Velociraptor и рассматривать использование такой тактики как преддверие развертывания вымогательского ПО», — предупреждают в Sophos.
После публикации этого отчета Sophos ИБ-компания Rapid7, которая разрабатывает Velociraptor, выпустила документ, который детально описывает, как специалисты организаций могут обнаружить злоупотребление Velociraptor в своих средах.
«Rapid7 известно о сообщениях, предупреждающих о злоупотреблениях опенсорсным инструментом для реагирования на инциденты Velociraptor. Velociraptor широко применяется защитниками для легитимных задач цифровой криминалистики и реагирования на инциденты. Но, как и многие другие инструменты для безопасности и администрирования, он может использоваться во вред, если попадает в неправильные руки», — комментируют разработчики.