Una intrusión sofisticada en la que los actores de amenaza cooptaron la herramienta legítima de Velociraptor Digital Forensics and Incident Respuesta (DFIR) para establecer un canal de acceso remoto encubierto.
Esto representa una evolución de la táctica de larga data de abusar de las utilidades de monitorización y gestión remota (RMM), con los atacantes que ahora reutilizan los marcos DFIR para minimizar la implementación de malware personalizado y evadir la detección.
Durante el ataque, el adversario aprovechó la utilidad MSIEXEC de Windows nativa para descargar e instalar un paquete MSI de Velociraptor malicioso de un dominio de puesta en escena con trabajadores de CloudFlare, fils.qaubctgg.workers.dev.
Esta área de puesta en escena también albergaba otras herramientas de atacantes, como un componente de túnel de CloudFlare y la herramienta de administración remota de Radmin. Una vez instalado, Velociraptor se configuró para comunicarse con un servidor de comando y control (C2) en Velo.qaubctgg.workers (.) Dev.
A continuación, el intruso ejecutó un comando de PowerShell ofuscado para recuperar el código Visual Studio (Code.exe) desde la misma carpeta de trabajadores.dev y la ejecutó con la función de túnel incorporada habilitada.
Árbol de proceso que muestra Velociraptor creando túnel de código Visual Studio.
Al instalar Code.exe como un servicio de Windows y redirigir su salida a un archivo de registro, el actor de amenaza creó efectivamente un túnel persistente y encriptado a la infraestructura C2 del atacante.
Esta técnica evitó muchos controles de seguridad tradicionales, ya que la función de túneles en el código de Visual Studio a menudo es utilizada legítimamente por los desarrolladores para la colaboración remota, según Sophos ‘ investigación.
En respuesta, los analistas de CTU proporcionaron a la organización afectada orientación de mitigación, lo que permite un rápido aislamiento del huésped comprometido. Esta medida de contención impidió que el adversario avance a su objetivo final de implementación de ransomware.
Aunque el abuso de acceso remoto a través de las herramientas RMM es una táctica familiar documentada en incidentes anteriores que involucran vulnerabilidades de SimpleHelp y herramientas virtuales basadas en máquinas, este caso marca uno de los primeros casos observados en los que se armó el software DFIR en sí.
Al pivotar a Velociraptor, los atacantes redujeron la dependencia del malware a medida, bajando su huella operativa y complican la atribución.
El análisis de CTU indica que esta artesanía debe tratarse como un precursor probable para el ransomware. Por lo tanto, se aconseja a las organizaciones:
Monitoree las implementaciones no autorizadas de DFIR y herramientas de respuesta a incidentes, incluido Velociraptor, a través de puntos finales y servidores. Implemente sistemas EDR integrales capaces de detectar procesos atípicos y líneas de comando sospechosas. Haga cumplir las políticas de listado de aplicaciones estrictas para bloquear instaladores no aprobados y creaciones de servicios. Auditar regularmente el tráfico de la red para túneles cifrados inesperados o baliza anómala C2. Mantenga las copias de seguridad robustas y fuera de línea y ensaye los planes de recuperación de ransomware.
Los equipos de seguridad deben revisar y restringir el acceso a estos dominios, teniendo en cuenta el riesgo de interactuar con contenido potencialmente malicioso.
Indicador typedomainDescriptionInstallerFiles.qaubctgg.workers.dev/v2.msiveLociraptor MSI PackageTunneling Toolfiles.qaubctgg.workers.dev/code.exevisual Studio Code EjeckableDitional msiworkers.dev/sc.msiseSeconder Malware Installer
Al tratar el uso no autorizado de herramientas de respuesta a incidentes como un evento de alto riesgo y adoptar medidas de detección y prevención en capas, las organizaciones pueden reducir significativamente el impacto de tales ataques y detener los adversarios antes de implementar ransomware.
¡Encuentra esta historia interesante! Séguenos LinkedIn y incógnita Para obtener más actualizaciones instantáneas.
