IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Kyberzločinci zneužívají nástroj Velociraptor k nasazení VS Code s C2 tunelem

Kyberzločinci zneužívají nástroj Velociraptor k nasazení VS Code s C2 tunelem

Tým Sophos Counter Threat Unit upozornil na útok, při němž neznámí hackeři nasadili open-source nástroj pro správu koncových bodů a digitální forenzní analýzu Velociraptor, aby stáhli a spustili Visual Studio Code s aktivovaným tunelováním na server příkazového a řídicího centra (C2). Útočníci využili instalační nástroj Windows msiexec ke stažení MSI balíčku z domény Cloudflare Workers, odkud dále získali Cloudflare Tunnel a nástroj vzdálené správy Radmin.

MSI balíček nejprve nainstaloval Velociraptor, který se připojil k jiné doméně na Cloudflare Workers. Z ní pak pomocí zakódovaného příkazu PowerShell stáhl Visual Studio Code a spustil jej s volbou tunelování, čímž umožnil vzdálené připojení a spuštění kódu. Podle Sophosu jde o taktický posun, kdy kyberzločinci zneužívají nástroje běžně používané při reakci na incidenty, aby minimalizovali potřebu vlastního malwaru.

„Organizace by měly sledovat a vyšetřovat neoprávněné použití Velociraptoru a vnímat tuto taktiku jako předstupeň k nasazení ransomwaru,“ uvedl tým Sophos Counter Threat Unit. Doporučuje nasazení EDR, monitoring nečekaných nástrojů a podezřelého chování i dodržování zásad zálohování.

Paralelně firmy Hunters a Permiso popsaly kampaň, jež zneužívá platformu Microsoft Teams k počátečnímu přístupu. Útočníci z nových či kompromitovaných tenantů kontaktují oběti s vydáváním se za IT podporu a instalují AnyDesk, DWAgent či Quick Assist; následně doručují PowerShell payload se schopnostmi krádeže přihlašovacích údajů, perzistence a vzdáleného spuštění kódu. „Naváděcí taktiky jsou stylizovány jako rutinní IT podpora, aby splynuly s běžnou komunikací,“ uvedl Isuf Deliu z Permiso.

Bezpečnostní odborníci Alon Klayman a Tomer Kachlon varují: „Phishing v Microsoft Teams už není okrajová technika — obchází tradiční e-mailové obrany a zneužívá důvěru v nástroje pro spolupráci.“

Další zjištění popisují malvertising, který spojuje legitimní odkazy office[.]com s ADFS a přesměrovává uživatele na phishingové stránky Microsoft 365. „Schopnost útočníků přidat si vlastní ADFS server a přimět Microsoft, aby na něj přesměroval, je znepokojivá a komplikuje detekci dle URL,“ uvedl Luke Jennings z Push Security. Tato zjištění ukazují, že útočníci stále častěji zneužívají legitimní nástroje i komunikační platformy, což zvyšuje nároky na monitoring a prevenci na straně firem.

Zdroj: The Hacker News