Хакери використали DFIR-інструмент Velociraptor для атак із LockBit і Babuk

11.10.2025 1 хвилин Автор: Newsman

Кіберзлочинці з угруповання Storm-2603 (Gold Salem) перетворили легальний інструмент Velociraptor, призначений для цифрової криміналістики (DFIR), на зброю. Вони застосовували його під час атак із Warlock, LockBit та Babuk ransomware, використовуючи вразливість у застарілій версії програми, щоб отримати повний контроль над корпоративними мережами.

За даними Sophos і Cisco Talos, нападники експлуатували вразливості SharePoint ToolShell, щоб отримати початковий доступ, а потім розгорнули стару версію Velociraptor (0.73.4.0), яка мала уразливість CVE-2025-6264. Це дозволяло виконувати довільні команди з правами адміністратора та повністю брати під контроль систему.

Після проникнення зловмисники створювали облікові записи доменних адміністраторів, поширювалися мережею за допомогою Smbexec, вимикали антивірусний захист і змінювали Group Policy у Active Directory, готуючи ґрунт для шифрування даних. Ця атака стала першим зафіксованим випадком, коли Storm-2603 застосував Babuk ransomware паралельно з LockBit і Warlock.

Рисунок 1 – Не містить резервної копії

  • Компанія Rapid7, яка володіє Velociraptor, заявила, що проблема не у самому інструменті, а в зловживанні легальними функціями. За словами аналітика Rapid7 Крістіана Біка, зловмисники «перетворюють засоби захисту на зброю», використовуючи їх як платформи для автоматизації атак.

Storm-2603 з’явилася у червні 2025 року, використовуючи LockBit 3.0 як базу для власного шкідливого коду. Уже через місяць хакери інтегрували Babuk і Warlock, щоб ускладнити атрибуцію атак. Компанія Halcyon вважає, що група може бути пов’язана з китайськими державними хакерами, адже має доступ до експлойтів до офіційних публікацій і демонструє високу організованість — цикли розробки нових версій тривають лише 48 годин.

Рисунок 2 – Містить резервні копії

  • Серед ознак державного походження — ретельно приховані часові мітки, компіляція файлів за китайським стандартним часом та спільні домени управління (C2) для LockBit, Warlock і Babuk.

Інцидент із Velociraptor ще раз підтвердив, що навіть захисні DFIR-інструменти можуть бути перетворені на зброю. Storm-2603 демонструє зростаючу тенденцію: хакери більше не створюють нових інструментів, а модифікують легальні, щоб уникнути виявлення. Це ставить перед ІБ-фахівцями нове завдання — перевіряти не лише уразливі програми, а й власні засоби безпеки.

Підписатися
Сповістити про
0 Коментарі
Найстаріші
Найновіше Найбільше голосів
Інші статті по темі
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.