«Чистая» атака, которая хуже вируса. Админы защищают сети инструментами, которые уже работают на врага

Специалисты Sophos предупредили о всё более изощрённой практике злоумышленников — использовании легитимных ИБ-инструментов в рамках тактики Living-off-the-Land (LotL) , при которой атака проводится с помощью уже существующего или общедоступного ПО, а не собственноручно разработанного вредоноса. В новом инциденте неизвестные атакующие внедрили в инфраструктуру жертвы Velociraptor — открытый инструмент для мониторинга конечных точек и цифровой криминалистики.

Установку инструмента осуществили через msiexec, загрузив MSI-инсталлятор с домена на платформе Cloudflare Workers. Затем злоумышленники использовали PowerShell с закодированной командой для скачивания и запуска VSCode в режиме туннелирования, предположительно — для подключения к удалённому C2-серверу.

В ходе атаки также был задействован набор дополнительных утилит, включая инструмент туннелирования Cloudflare и программу удалённого администрирования Radmin. Повторное использование msiexec позволило им подгружать и другие полезные нагрузки из каталога workers[.]dev. Sophos подчёркивает, что подобная активность — сигнал к возможной подготовке к шантажу или развертыванию шифровальщика , и призывает компании отслеживать несанкционированное использование Velociraptor и других «законных» инструментов.