Velociraptor: защитник, ставший оружием в руках хакеров

1 сентября 2025 года специалисты компании Sophos сообщили о новом случае злоупотребления легитимными инструментами информационной безопасности. Злоумышленники использовали Velociraptor — программу с открытым исходным кодом, предназначенную для мониторинга конечных точек и цифровой криминалистики, — в качестве элемента атаки на корпоративную инфраструктуру.

Этот случай стал очередным примером тактики Living-off-the-Land (LotL), при которой хакеры используют уже существующее или общедоступное ПО вместо собственных вредоносных программ.

По данным Sophos, установка Velociraptor была произведена через msiexec — с использованием MSI-файла, загруженного с домена, размещённого на платформе Cloudflare Workers. Затем с помощью PowerShell и закодированной команды был запущен Visual Studio Code в режиме туннелирования — предположительно для связи с удалённым командным сервером (C2).

Также в ходе атаки применялись другие инструменты, включая Cloudflare Tunnel и программу удалённого доступа Radmin. msiexec использовался повторно для загрузки дополнительных компонентов с поддоменов workers[.]dev.

По оценке специалистов, подобная активность может указывать на подготовку к будущей фазе атаки, включая шантаж или использование программ-вымогателей. В связи с этим Sophos рекомендует компаниям внимательно следить за несанкционированным запуском Velociraptor и аналогичных утилит в своей IT-инфраструктуре.