Velociraptor в руках хакеров: инструмент защиты превратился в оружие атаки
Обычно Velociraptor ассоциируется у специалистов с цифровой криминалистикой и мониторингом конечных точек. Но теперь этот открытый инструмент оказался на службе у киберпреступников. Эксперты Sophos фиксируют тревожный тренд: злоумышленники всё чаще переходят к тактике Living-off-the-Land, когда для атаки используются легитимные программы, а не самописные трояны.
В последнем инциденте хакеры установили Velociraptor в корпоративной сети жертвы с помощью утилиты msiexec, загрузив инсталлятор с домена, размещённого на платформе Cloudflare Workers. После этого был запущен PowerShell с зашифрованной командой, который подгрузил Visual Studio Code в режиме туннелирования. По версии исследователей, это позволяло операторам незаметно подключаться к удалённому серверу управления.
Для закрепления в инфраструктуре применялись и другие утилиты: от Cloudflare Tunnel до классического Radmin. Повторные вызовы msiexec использовались для установки дополнительных модулей с ресурсов в зоне workers[.]dev. Подобная схема, по мнению Sophos, может быть подготовительным этапом перед более разрушительными действиями — от вывода данных до запуска шифровальщиков.
Специалисты подчёркивают: тот факт, что в атаках применяются легальные инструменты, сильно усложняет задачу защиты. Лог Velociraptor или PowerShell-команда выглядят рутинно, а не как подозрительная активность. Поэтому компаниям рекомендуется усиливать мониторинг, отслеживать нетипичное использование админских утилит и ограничивать доступ к инструментам, которые в теории могут обернуться против самой инфраструктуры.
похожие материалы
Мошенники начали делать россиян «админами» чужих каналов для шантажа
Мошенники начали использовать новую схему давления через Telegram-каналы.
Мошенники начали рассылать фальшивые письма о долгах по членским взносам
Т-Банк предупредил о новой схеме мошенничества с поддельными письмами об оплате членских взносов.
«Боцман» 3.2: больше контроля для ИБ и удобства для разработчиков
Компания «Платформа Боцман» (входит в «Группу Астра») выпустила новую версию корпоративного решения для управления контейнерными средами — «Боцман» 3.
Анатомия ландшафта киберугроз: ИТ-сектор вытеснил финансы из тройки самых атакуемых отраслей в 2025 году
По данным глобального отчёта «Анатомия ландшафта киберугроз» от экспертов центра сервисов по кибербезопасности «Лаборатории Касперского», государственные учреждения и промышленность остаются самыми привлекательными целями для злоумышленников — в 2025 году на них пришлось больше всего инцидентов высокой критичности.
В Коврове состоится конференция по вопросам безопасности объектов и территорий «БРОНЯ-2026»
Мероприятие объединит представителей силовых ведомств, разработчиков средств защиты и научное сообщество.
FlamingChina заявил о краже 10 петабайт военных данных из китайского суперкомпьютерного центра
Хакер или группа под именем FlamingChina заявила о взломе Национального суперкомпьютерного центра Китая в Тяньцзине и краже более 10 петабайт данных.
Белые хакеры нашли в Max больше 200 уязвимостей
Национальный мессенджер Max получил более 200 отчетов об уязвимостях в рамках программы Bug Bounty.
Cloudflare передумал: с «Телеги» сняли шпионскую и фишинговую метку
В редакцию Кибер Медиа обратились представители Telegram-клиента «Телега» и прокомментировали ситуацию вокруг публикации о пометке доменов сервиса как шпионских и фишинговых.
Обзор кибератак и уязвимостей за прошедшую неделю: 6 - 10 апреля 2026
Редакция Кибер Медиа собрала ключевые события последних дней из мира кибербезопасности.
Минфин США срочно собрал банкиров из-за новой ИИ-модели, которая уже находит тысячи уязвимостей
Минфин США провел экстренное совещание с крупнейшими банками на фоне опасений вокруг новой модели Anthropic.