Hackeri zneužívajú Velociraptor, Cloudflare Tunnels a VS Code SSH na skrytú persistenciu v podnikových sieťach. Zistite, ako sa brániť proti „living off the land" útokom.
Tím Microsoft DART (Detection and Response Team) odhalil počas rutinného vyšetrovania ransomvérového útoku oveľa komplexnejšiu operáciu. Útočná skupina sledovaná ako Storm-2603 kompromitovala on-premises SharePoint servery, ktoré boli pod tlakom od polovice roka 2025, a následne vybudovala viacvrstvový systém perzistentného prístupu využívajúci výhradne legitímne a dôveryhodné nástroje.
Ešte alarmujúcejší bol nález, že v rovnakom kompromitovanom prostredí súčasne operoval druhý, nezávislý útočník — využívajúci odlišné techniky vrátane škodlivého DLL sideloadingu a vlastných backdoorov. Prítomnosť dvoch prekrývajúcich sa kampaní výrazne sťažila detekciu aj atribúciu útoku.
Ako útok fungoval
Storm-2603 postavil svoju operáciu na zneužití nástrojov, ktoré bezpečnostné tímy bežne považujú za dôveryhodné:
- Velociraptor — open-source forenzný nástroj spustený so SYSTEM oprávneniami na mapovanie kompromitovaného prostredia. Jeho prítomnosť v sieti nevzbudzuje podozrenie, keďže ho štandardne využívajú aj legitímne bezpečnostné tímy
- Cloudflare Tunnels — umožnili útočníkom smerovať komunikáciu cez dôveryhodnú tretiu stranu a obísť konvenčný sieťový monitoring
- Zoho Assist — nástroj pre vzdialený prístup vytvárajúci ďalší redundantný kanál
- VS Code SSH — SSH spojenia cez Visual Studio Code ako ďalší záložný prístupový bod
Kombinácia týchto kanálov zabezpečila, že aj keby bol jeden prístupový bod objavený a zablokovaný, útočníci si udržali prítomnosť v sieti prostredníctvom ostatných.
Po získaní prístupu útočníci eskalovali privilégiá vytvorením nových lokálnych aj doménových administrátorských účtov. Zneužili tiež zraniteľný ovládač na manipuláciu so systémovou pamäťou a deaktiváciu bezpečnostných nástrojov.
Prečo je to nebezpečné
Táto kampaň ilustruje rastúci trend: útočníci sa čoraz menej spoliehajú na vlastný malvér a namiesto toho zneužívajú nástroje, ktoré už v prostredí existujú alebo ktoré bezpečnostné tímy aktívne využívajú. Tento prístup — označovaný ako „living off the land" — zásadne komplikuje detekciu, pretože škodlivá aktivita je na prvý pohľad nerozoznateľná od bežnej administrácie.
Súčasná prítomnosť dvoch nezávislých útočníkov v jednom prostredí navyše ukazuje, že kompromitované systémy sú aktívne zdieľané alebo predávané medzi skupinami na dark webe.
Čo robiť
Microsoft a jeho tím DART odporúčajú:
- Prioritne záplatovať systémy dostupné z internetu — SharePoint a iné on-premises servery bývajú prvým bodom vstupu
- Posilniť identity security — zneužitie prihlasovacích údajov zohralo kľúčovú úlohu pri eskalácii privilégií
- Monitorovať používanie nástrojov ako Velociraptor, VS Code, Zoho Assist a tunelových služieb — legitímny softvér môže byť tichým indikátorom kompromitácie
- Nasadiť endpoint protection plošne a centrálne uchovávať telemetriu
- Mať otestovaný Incident Response plán pripravený na okamžitú aktiváciu
