Pesquisadores da unidade de contra-ameaças (CTU) da Sophos descobriram uma intrusão sofisticada, onde os atores de ameaças reaproveitaram a legítima ferramenta Velociraptor de código aberto e a ferramenta de resposta a incidentes (DFIR) para estabelecer acesso remoto não autorizado em redes direcionadas.
O Velociraptor, projetado para visibilidade do ponto de extremidade e análise forense, foi implantado maliciosamente para baixar e executar o código do Visual Studio, facilitando um mecanismo de tunelamento que se conectou a um servidor de comando e controle controlado por atacante (C2).
Esta tática permitiu acesso remoto em potencial e execução de códigoum método anteriormente explorado por vários grupos de ameaças.
Táticas empregadas
A intrusão começou com o utilitário Windows MSIEXEC buscando um arquivo de instalador chamado v2.msi de um domínio dos trabalhadores do CloudFlare, especificamente arquivos[.]qaubctgg[.]trabalhadores[.]Dev, que serviu como um repositório de estadiamento para ferramentas de invasor, incluindo utilitários de tunelamento CloudFlare e a ferramenta Radmin Remote Administration.
Depois de instalado, o Velociraptor foi configurado para se comunicar com o domínio C2 Velo[.]qaubctgg[.]trabalhadores[.]Dev.
Os atacantes então executaram um codificado PowerShell Command Para recuperar o código do Visual Studio (code.exe) no mesmo local de encenação, iniciando -o com o tunelamento ativado.
Para manter a persistência, o code.exe foi instalado como um serviço do Windows, com sua saída redirecionada para um arquivo de log para monitoramento.
Posteriormente, o MSIEXEC foi invocado novamente para baixar malware adicional via SC.MSI dos trabalhadores[.]infraestrutura de desenvolvimento.
Essa sequência formou uma árvore de processo em que o Velociraptor atuou como o processo pai, desova no túnel do código do Visual Studio, conforme observado na análise forense.
A atividade de tunelamento desencadeou um alerta na plataforma de segurança de Taegis, provocando uma rápida investigação do Sophos que forneceu orientações de mitigação, incluindo o isolamento do host, finalmente frustrando os objetivos dos atacantes e impedindo a provável implantação de ransomware.
Implicações mais amplas
Este incidente destaca uma tendência crescente entre os atores de ameaças que abusam de ferramentas de monitoramento e gerenciamento remotas (RMM), incluindo utilitários de resposta a incidentes como Velociraptor, para minimizar pegadas de malware detectáveis e pivô em ambientes comprometidos.
Diferentemente dos ataques tradicionais que implantam malware sob medida, essa abordagem aproveita ferramentas legítimas preexistentes ou recentemente introduzidas, como explorar vulnerabilidades em sistemas como simpleshelp ou implantando ferramentas durante intrusões ativas para obter persistência e exfiltração.
De acordo com o relatórioA análise da CTU indica que o uso não autorizado de velociraptor geralmente serve como precursor do ransomware, enfatizando a necessidade de monitoramento vigilante de implantações inesperadas de ferramentas e comportamentos anômalos, como instalações de tunelamento ou serviço incomum.
As organizações podem aprimorar as defesas implementando sistemas de detecção e resposta para pontos de extremidade (EDR) para examinar árvores de processo, comunicações de rede e downloads de arquivos de domínios suspeitos.
As práticas recomendadas incluem restringir o acesso a indicadores maliciosos conhecidos, aplicar princípios de menor privilégio e manter estratégias de backup robustas para reduzir os impactos de ataque.
Detecções de Sophos como TROJ/Agent-BLMR, TROJ/BATDL-PL e TROJ/MDROP-KDK identificam especificamente ameaças relacionadas, permitindo o bloqueio proativo.
Ao tratar as observações deste tradecraft como alertas de alta prioridade e investigando-os prontamente, as empresas podem interromper as cadeias de ataque antes da escalada para a criptografia ou exfiltração de dados.
Indicadores de compromisso (IOCs)
| Indicador | Tipo | Contexto |
|---|---|---|
| arquivos[.]qaubctgg[.]trabalhadores[.]Dev | Nome de domínio | Ferramentas hospedadas usadas em agosto de 2025 Campanha Velociraptor |
| Velo[.]qaubctgg[.]trabalhadores[.]Dev | Nome de domínio | Servidor C2 usado em agosto de 2025 Campanha Velociraptor |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!