Xavfsizlik uchun mo‘ljallangan Velociraptor vositasi kiberjinoyatchilar qo‘liga tushib, VMware va Windows tizimlariga tahdidga aylandi.

So‘nggi paytlarda Velociraptor — raqamli forensika va hodisa-javob (DFIR) vositasi — kiberjinoyatchilar tomonidan yovuz maqsadlarda qo‘llanila boshladi. Cisco Talos tadqiqotchilari ushbu vosita yordamida uyushtirilgan bir necha hujumlarni aniqladi: tarmoq ichidagi serverlar va virtual mashinalar Warlock, LockBit va Babuk ransomvеrlari bilan shifrlangan. Bu holat — himoya vositasining o‘zi jinoyat zanjirida qanday qilib ishlatilishi mumkinligiga yorqin misoldir.

Hujum qanday amalga oshirildi?

Tahdid aktorlari dastlab tizimga kirib, eskirgan va zaif Velociraptor versiyasini (0.73.4.0) o‘rnatishgan. Ushbu versiyada CVE-2025-6264 deb qayd etilgan huquqni oshirish zaifligi borligi aniqlangan; undan foydalangan hujumchilar endpoint ustidan to‘liq nazoratni qo‘lga kiritib, yashirin va barqaror kirish yo‘lini ta’minlaganlar.

Keyin ular yangi administrator hisoblari yaratib, ularni Entra ID (Azure AD) bilan sinxronlashtirish orqali VMware vSphere boshqaruviga ham kirish olgan. Himoya tizimlarini zaiflashtirish maqsadida Active Directory Group Policy (GPO) orqali Microsoft Defender-ning real-vaqt muhofazasi va xulq-atvor monitoringi oʻchirib qo‘yilgan. So‘ngra Windows mashinalarda faylsiz (fileless) PowerShell skripti, ESXi serverlarda esa Linux asosidagi Babuk encryptori ishlatilishi natijasida shifrlash amalga oshirilgan.

Nima uchun bu alohida xavfli?

Bir hujumda uchta turli ransomvеr — Warlock, LockBit va Babuk — ishlatilishi juda kam uchraydigan hodisa. Bu turdagi murakkab kombinatsiya, shuningdek, ma’lumotlarni avval oʻg‘irlash (double extortion) va keyin shifrlash orqali qo‘shimcha bosim oʻtkazish, jabrlanuvchining tiklanish imkoniyatini keskin kamaytiradi. Tadqiqotchilar bu kampaniyani «Storm-2603» nomli guruhga o‘rtacha darajada ishonch bilan bog‘lashmoqda; ushbu guruh ilgari ham ToolShell kabi SharePoint zaifliklaridan foydalangan.

Belgilar (IoC) — qanday alomatlarga eʼtibor berish kerak?

Tadqiqotlar davomida bir nechta indikatorlar aniqlangan: buyruq-va-boshqaruv (C2) IP-manzillar, zararli domenlar va zararli fayllarning SHA-256 hashlari. Tarmoqlar va endpointlar loglarida Velociraptor o‘rnatish jarayoni, nomaʼlum MSI yoki .exe fayllar, g‘ayritabiiy Entra ID sinxronlashlari va ma’lumotlar eksfiltratsiyasiga oid so‘rovlar tekshirilishi kerak.

Amalga oshirilishi lozim bo‘lgan chora-tadbirlar

  1. Velociraptor va boshqa agentlarni zudlik bilan yangilang. Agar sizda eski 0.73.4.0 kabi versiya mavjud bo‘lsa, rasmiy yangilanishlarni o‘rnating va zaiflik bo‘yicha tavsiyalarni bajaring.
  2. DFIR/EDR agentlarining konfiguratsiyasini qayta ko‘rib chiqing. Agent rollari va ruxsatlarini minimal tamoyilga koʻra sozlang.
  3. SharePoint va boshqa internetga ochiq xizmatlarni patch qiling. ToolShell kabi kirish vektorlarini bartaraf eting.
  4. GPO va Defender sozlamalarini monitoring qiling. GPOʼdagi o‘zgarishlar uchun darhol ogohlantirish tizimini yoqing.
  5. Loglarni chuqur tahlil qiling. vSphere, Entra ID, Velociraptor oʻrnatish va fayl operatsiyalari bo‘yicha loglarni qidirib chiqing.
  6. Immutable va off-site backup’larni ta’minlang. Tez tiklanish uchun zaxira strategiyasini mustahkamlang.
  7. Favqulodda IR rejalarini yangilang. Incident response jamoasi, aloqa kanallari va tiklanish bosqichlarini aniqlang.
  8. Xodimlarni xabardor qiling. DFIR vositalarini faqat tekshirilgan protseduralarga asoslangan holda o‘rnatish va boshqarish zarurligini tushuntiring.

Velociraptor holati — bizga eslatadi: hatto xavfsizlik uchun yaratilgan vositalar noto‘g‘ri konfiguratsiya qilingan yoki eskirgan boʻlsa, hujumchilar ularni qurolga aylantira oladi. Tashkilotlar nafaqat vositalarni o‘rnatishi, balki ularning yangilanishi, konfiguratsiyasi va kirish nazoratini doimiy ravishda tekshirib borishi lozim. Kuchli patch-management, qatʼiy konfiguratsiya siyosati va faol monitoring — bugungi kunda xavfsizlikning muhim poydevoridir.