Hackers estão abusando do Velociraptor como C2 furtivo e para entregar ransomware Warlock após explorar falhas críticas em SharePoint e WSUS.
Como o acesso inicial é obtido
UM campanhaatribuído ao cluster financeiro Storm‑2603, explora a cadeia de vulnerabilidades “ToolShell” em servidores Microsoft SharePoint, começando por um bypass de autenticação (CVE‑2025‑49706) via requisições HTTP manipuladas para /_layouts/15/ToolPane.aspx e Referer forjado, seguido de RCE (CVE‑2025‑49704) para transformar arquivos padrão como start.aspx em web shells. Em outros casos, os aventureiros também exploraram falhas no WSUS para ganhar execução remota em ambientes Windows corporativos.
Uso do Velociraptor como C2
Depois de obter o código remoto, os sensores baixaram e instalaram o Velociraptor via msiexec, registrando-o como serviço Windows para garantir persistência e controle centralizado sobre vários endpoints comprometidos. Com isso, um importador de DFIR passa a atuar como plataforma de C2: comandos, coleta e entrega lateral são orquestrados por meio de tarefas e artefatos que, à primeira vista, parecem fluxo normal de resposta a incidentes.
Os operadores reforçam a furtividade usando túneis Cloudflare (cloudflared) e binários contratados, de modo que o tráfego de C2 sai pela rede por domínios “confiáveis” e escapa de blocklists tradicionais. Em um dos incidentes, o mesmo token de túnel Cloudflare foi observado em casos de setembro e novembro, ligando a atividade ao mesmo operador Storm‑2603.
Cadeia até o ransomware Warlock
Com o Velociraptor instalado, os aventureiros disparam comandos PowerShell em Base64 para puxar outras ferramentas, incluindo o download do Visual Studio Code (code.exe) e o uso dos recursos do túnel remoto do VS Code para criar mais canais de saída encobertos. Em um caso de novembro, analisado pela Huntress, o Velociraptor foi usado como trampolim para execução do ransomware Warlock em diversos endpoints, com notas de resgate típicas dessa família e histórico anterior do grupo usando Velociraptor também com LockBit e Babuk.
Lições e recomendações
- Tratar a presença de Velociraptor, OpenSSH e Cloudflared em servidores como eventos de alto risco se não forem parte explícita da arquitetura, investigando a origem da instalação e comandos executados.
- Aplique imediatamente patches para a cadeia ToolShell no SharePoint (CVE‑2025‑49704, CVE‑2025‑49706, CVE‑2025‑53770, CVE‑2025‑53771) e examine a exposição do WSUS e outros serviços públicos.
- Restringir o uso de ferramentas de DFIR, RMM e túneis (Túneis Velociraptor, RDP, Cloudflared, VS Code) a hosts e contas dedicadas, com logging e alertas específicos para novas instalações e serviços.
