Velociraptor vira C2 furtivo em ataques

Hackers estão abusando do Velociraptor como C2 furtivo e para entregar ransomware Warlock após explorar falhas críticas em SharePoint e WSUS.

Como o acesso inicial é obtido

A campanha, atribuída ao cluster financeiro Storm‑2603, explora a cadeia de vulnerabilidades “ToolShell” em servidores Microsoft SharePoint, começando por um bypass de autenticação (CVE‑2025‑49706) via requisições HTTP manipuladas para /_layouts/15/ToolPane.aspx e Referer forjado, seguido de RCE (CVE‑2025‑49704) para transformar arquivos padrão como start.aspx em web shells. Em outros casos, os atacantes também exploram falhas em WSUS para ganhar execução remota em ambientes Windows corporativos.

Uso do Velociraptor como C2

Depois de obter código remoto, os atores baixam e instalam o Velociraptor via msiexec, registrando‑o como serviço Windows para garantir persistência e controle centralizado sobre múltiplos endpoints comprometidos. Com isso, um utilitário de DFIR legítimo passa a atuar como plataforma de C2: comandos, coleta e movimentação lateral são orquestrados por meio de tarefas e artefatos que, à primeira vista, parecem fluxo normal de resposta a incidentes.

Os operadores reforçam a furtividade usando túneis Cloudflare (cloudflared) e binários assinados, de modo que o tráfego de C2 sai pela rede por domínios “confiáveis” e escapa de blocklists tradicionais. Em um dos incidentes, o mesmo token de tunnel Cloudflare foi observado em casos de setembro e novembro, ligando a atividade ao mesmo operador Storm‑2603.

Cadeia até o ransomware Warlock

Com o Velociraptor instalado, os atacantes disparam comandos PowerShell em Base64 para puxar outras ferramentas, incluindo o download de Visual Studio Code (code.exe) e uso dos recursos de túnel remoto do VS Code para criar mais canais de saída encobertos. Em um caso de novembro, analisado pela Huntress, o Velociraptor foi usado como trampolim para execução do ransomware Warlock em diversos endpoints, com notas de resgate típicas dessa família e histórico prévio do grupo usando Velociraptor também com LockBit e Babuk.

Lições e recomendações

  • Tratar a presença de Velociraptor, OpenSSH e Cloudflared em servidores como eventos de alto risco se não forem parte explícita da arquitetura, investigando origem da instalação e comandos executados.
  • Aplicar imediatamente patches para a cadeia ToolShell no SharePoint (CVE‑2025‑49704, CVE‑2025‑49706, CVE‑2025‑53770, CVE‑2025‑53771) e revisar exposição de WSUS e outros serviços públicos.
  • Restringir uso de ferramentas de DFIR, RMM e túneis (Velociraptor, RDP, Cloudflared, VS Code tunnels) a hosts e contas dedicados, com logging e alertas específicos para novas instalações e serviços.