Обещали инструмент для поиска хакеров, получили бэкдор для их проникновения. Ирония года от Velociraptor

leer en español

Velociraptor Rapid7 Cisco Talos Storm-2603 LockBit Babuk Warlock
Обещали инструмент для поиска хакеров, получили бэкдор для их проникновения. Ирония года от Velociraptor
Velociraptor Rapid7 Cisco Talos Storm-2603 LockBit Babuk Warlock

Легальный софт для поиска улик превратился в инструмент вымогателей.

image

Хакеры начали использовать инструмент цифровой криминалистики и реагирования на инциденты (DFIR) Velociraptor для атак, в которых разворачиваются вымогатели LockBit и Babuk. Специалисты Cisco Talos связывают эти кампании с группировкой Storm-2603, действующей из Китая. По оценке аналитиков, злоумышленники применяли устаревшую версию Velociraptor с уязвимостью повышения привилегий CVE-2025-6264 (оценка CVSS: 5.5), чтобы получить полный контроль над заражёнными системами.

Velociraptor был создан Майком Коэном как открытый DFIR-инструмент, а позже выкуплен компанией Rapid7, которая развивает его коммерческую версию. В конце августа специалисты Sophos сообщили, что злоумышленники уже используют этот софт для удалённого доступа. Через него они загружали и запускали Visual Studio Code на заражённых хостах, создавая защищённый туннель связи с C2-серверами.

По данным Cisco Talos, атака начиналась с создания локальных администраторских учётных записей, синхронизированных с Entra ID. С их помощью злоумышленники входили в консоль VMware vSphere и закреплялись в виртуальной инфраструктуре. После этого они устанавливали старую версию Velociraptor 0.73.4.0, содержащую брешь CVE-2025-6264, которая позволяла выполнять произвольные команды и брать под контроль систему. Инструмент использовался повторно даже после изоляции хоста, обеспечивая постоянное присутствие в сети.

Атакующие применяли также команды в стиле Impacket smbexec для удалённого запуска программ и создавали запланированные задачи с пакетными сценариями. Для ослабления защиты они через групповые политики Active Directory отключали модули защиты в Microsoft Defender, включая мониторинг активности файлов и процессов.

Средства обнаружения угроз зафиксировали, что на машинах с Windows запускался вымогатель LockBit, однако зашифрованные файлы имели расширение «.xlockxlock», ранее встречавшееся в атаках Warlock. На серверах VMware ESXi исследователи нашли бинарный файл Linux, идентифицированный как Babuk. Для массового шифрования данных использовался безфайловый PowerShell-шифровальщик, создававший новые ключи AES при каждом запуске. Перед этим другой PowerShell-скрипт выгружал документы для двойного вымогательства, добавляя задержки между операциями, чтобы скрыться от песочниц и систем анализа.

Компания Halcyon в своём исследовании отметила, что Storm-2603, по всей вероятности, связана с китайскими государственными структурами и ранее фигурировала под названиями Warlock и CL-CRI-1040. Группировка действовала как партнёр LockBit, комбинируя собственные инструменты с готовыми решениями известных киберпреступных экосистем. Cisco Talos представила набор индикаторов компрометации, включая файлы, загруженные злоумышленниками, и следы активности Velociraptor, зафиксированные на заражённых системах.