- 20,215
- 46
- 8 Ноя 2022
Злоумышленники используют легитимный ИБ-инструмент, чтобы атаковать компании.
Специалисты Sophos предупредили о всё более изощрённой практике злоумышленников — использовании легитимных ИБ-инструментов в рамках тактики Living-off-the-Land (LotL) , при которой атака проводится с помощью уже существующего или общедоступного ПО, а не собственноручно разработанного вредоноса. В новом инциденте неизвестные атакующие внедрили в инфраструктуру жертвы Velociraptor — открытый инструмент для мониторинга конечных точек и цифровой криминалистики.
Установку инструмента осуществили через msiexec, загрузив MSI-инсталлятор с домена на платформе Cloudflare Workers. Затем злоумышленники использовали PowerShell с закодированной командой для скачивания и запуска VSCode в режиме туннелирования, предположительно — для подключения к удалённому C2-серверу.
В ходе атаки также был задействован набор дополнительных утилит, включая инструмент туннелирования Cloudflare и программу удалённого администрирования Radmin. Повторное использование msiexec позволило им подгружать и другие полезные нагрузки из каталога workers[.]dev. Sophos подчёркивает, что подобная активность — сигнал к возможной подготовке к шантажу или развертыванию шифровальщика , и призывает компании отслеживать несанкционированное использование Velociraptor и других «законных» инструментов.
Специалисты Sophos предупредили о всё более изощрённой практике злоумышленников — использовании легитимных ИБ-инструментов в рамках тактики Living-off-the-Land (LotL) , при которой атака проводится с помощью уже существующего или общедоступного ПО, а не собственноручно разработанного вредоноса. В новом инциденте неизвестные атакующие внедрили в инфраструктуру жертвы Velociraptor — открытый инструмент для мониторинга конечных точек и цифровой криминалистики.
Установку инструмента осуществили через msiexec, загрузив MSI-инсталлятор с домена на платформе Cloudflare Workers. Затем злоумышленники использовали PowerShell с закодированной командой для скачивания и запуска VSCode в режиме туннелирования, предположительно — для подключения к удалённому C2-серверу.
В ходе атаки также был задействован набор дополнительных утилит, включая инструмент туннелирования Cloudflare и программу удалённого администрирования Radmin. Повторное использование msiexec позволило им подгружать и другие полезные нагрузки из каталога workers[.]dev. Sophos подчёркивает, что подобная активность — сигнал к возможной подготовке к шантажу или развертыванию шифровальщика , и призывает компании отслеживать несанкционированное использование Velociraptor и других «законных» инструментов.
- Источник новости
- www.securitylab.ru
