02/09/25
Velociraptor — открытый инструмент для отслеживания конечных точек и цифровой криминалистики. Установку инструмента осуществили через msiexec, загрузив MSI-инсталлятор с домена на платформе Cloudflare Workers, пишет Securitylab.
Затем злоумышленники использовали PowerShell с закодированной командой для скачивания и запуска VSCode в режиме туннелирования, предположительно — для подключения к удалённому C2-серверу.
В ходе атаки также был задействован набор дополнительных утилит, включая инструмент туннелирования Cloudflare и программу удалённого администрирования Radmin. Повторное использование msiexec позволило им подгружать и другие полезные нагрузки из каталога workers[.]dev. Sophos подчёркивает, что подобная активность — сигнал к возможной подготовке к шантажу или развертыванию шифровальщика, и призывает компании отслеживать неожиданное использование Velociraptor и других законных инструментов.
