Sophos’taki karşı tehdit biriminden (CTU) araştırmacılar, tehdit aktörlerinin hedeflenen ağlar içinde yetkisiz uzaktan erişim sağlamak için meşru açık kaynaklı Velociraptor dijital adli tıp ve olay tepkisi (DFIR) aracını yeniden kullandıkları sofistike bir izinsiz girişi ortaya çıkardılar.
Son nokta görünürlüğü ve adli analiz için tasarlanan Velociraptor, saldırgan kontrollü bir komut ve kontrol (C2) sunucusuna bağlı bir tünelleme mekanizmasını kolaylaştırarak Visual Studio kodunu indirmek ve yürütmek için kötü bir şekilde konuşlandırıldı.
Bu taktik, daha önce çeşitli tehdit grupları tarafından sömürülen bir yöntem olan potansiyel uzaktan erişim ve kod yürütmesine izin verdi.
Kullanılan taktikler
İzinsiz giriş, Windows msiexec yardımcı programı ile başladı ve bir Cloudflare çalışanları alanından v2.msi adlı bir yükleyici dosyası getiriyor, özellikle dosyalar[.]qaubctgg[.]işçi[.]Cloudflare tünelleme yardımcı programları ve Radmin Uzaktan Yönetim Aracı da dahil olmak üzere saldırgan araçları için evreleme deposu olarak hizmet veren Dev.
Kurulduktan sonra Velociraptor, C2 Domain Velo ile iletişim kuracak şekilde yapılandırıldı[.]qaubctgg[.]işçi[.]Dev.
Saldırganlar daha sonra Visual Studio Kodunu (Code.exe) aynı evreleme konumundan almak için kodlanmış bir PowerShell komutu yürüttü ve tünelleme etkinken başlattı.
Kalıcılığı korumak için, Code.exe bir Windows hizmeti olarak yüklendi, çıkışı izleme için bir günlük dosyasına yönlendirildi.
Daha sonra, MSIExec, işçilerden Sc.MSI aracılığıyla ek kötü amaçlı yazılımlar indirmek için tekrar çağrıldı.[.]Dev Altyapı.
Bu dizi, Velociraptor’un adli analizde gözlemlendiği gibi Visual Studio Kodu tünelini ortaya çıkaran ana süreç olarak hareket ettiği bir proses ağacı oluşturdu.
Tünelleme etkinliği, Taegis güvenlik platformunda bir uyarıyı tetikledi ve ev sahibi izolasyonu da dahil olmak üzere hafifletme rehberliği sağlayan hızlı bir Sophos soruşturması başlattı, sonuçta saldırganların hedeflerini engelledi ve olası fidye yazılım dağıtımını önledi.
Daha geniş sonuçlar
Bu olay, tespit edilebilir kötü amaçlı yazılım ayak izlerini ve uzlaşmış ortamlarda pivotu en aza indirmek için Velociraptor gibi olay müdahale kamu hizmetleri de dahil olmak üzere uzaktan izleme ve yönetim (RMM) araçlarını kötüye kullanan tehdit aktörleri arasında büyüyen bir eğilimi vurgulamaktadır.
Ismarlama kötü amaçlı yazılımları dağıtan geleneksel saldırıların aksine, bu yaklaşım, kalıcılık ve eksfiltrasyon elde etmek için SimpleHelp gibi sistemlerde güvenlik açıklarından yararlanmak veya aktif müdahaleler sırasında araçları dağıtmak gibi yeni tanıtılan meşru araçlardan yararlanır.
Rapora göre, CTU analizi, yetkisiz velociraptor kullanımının genellikle fidye yazılımı için bir öncü olarak hizmet ettiğini ve olağandışı tünel veya hizmet kurulumları gibi beklenmedik takım dağıtımlarının ve anormal davranışların uyanık izlenmesi gerektiğini vurguladığını göstermektedir.
Kuruluşlar, şüpheli alanlardan süreç ağaçlarını, ağ iletişimlerini ve dosya indirmelerini incelemek için uç nokta algılama ve yanıt (EDR) sistemlerini uygulayarak savunmaları geliştirebilir.
En iyi uygulamalar arasında bilinen kötü niyetli göstergelere erişimi kısıtlamak, en az ayrıcalık ilkelerinin uygulanması ve saldırı etkilerini azaltmak için sağlam yedekleme stratejilerinin korunmasını içerir.
TROJ/Agent-BLMR, TROJ/BATDL-PL ve TROK/MDROP-KDK gibi Sophos tespitleri özellikle ilgili tehditleri tanımlayarak proaktif engellemeyi sağlayarak tanımlar.
Bu Tradecraft’ın gözlemlerini yüksek öncelikli uyarılar olarak ele alarak ve bunları derhal araştırarak, işletmeler veri şifreleme veya eksfiltrasyona yükseltilmeden önce saldırı zincirlerini bozabilir.
Uzlaşma Göstergeleri (IOCS)
| Gösterge | Tip | Bağlam |
|---|---|---|
| dosyalar[.]qaubctgg[.]işçi[.]dev | Alan adı | Ağustos 2025 Velociraptor kampanyasında kullanılan barındırılan araçlar |
| velo[.]qaubctgg[.]işçi[.]dev | Alan adı | C2 Sunucusu Ağustos 2025 Velociraptor kampanyasında kullanılan |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!