Selon Darktrace, l’exploitation de la vulnérabilité critique CVE-2025-59287 affectant WSUS (Windows Server Update Services) s’est intensifiée après une correction initiale insuffisante par Microsoft suivie d’un correctif hors bande, avec une inscription par la CISA au catalogue KEV le 24 octobre.
-
Contexte et impact 🚨: La vulnérabilité permet une exécution de code à distance non authentifiée sur des serveurs WSUS exposés à Internet. Darktrace fait état de multiples cas aux États‑Unis, touchant les secteurs information/communication et éducation. L’exploitation a commencé immédiatement après les correctifs, soulignant l’attrait de la faille pour les attaquants.
-
Chaîne d’attaque observée 🧭: Les serveurs WSUS compromis ont initié des connexions PowerShell et cURL vers webhook[.]site pour l’énumération et l’exfiltration de données, puis un beaconing C2 vers des sous-domaines workers[.]dev (infrastructure Cloudflare Workers). Les attaquants ont déployé un paquet v3.msi contenant Velociraptor 0.73.4 (vulnérable à CVE-2025-6264 pour l’élévation de privilèges), configuré avec workers[.]dev comme server_url pour le tunneling C2. Un payload secondaire récupéré depuis 185.69.24[.]18/singapure a livré Skuld Stealer (Golang, packé UPX), doté de capacités de vol de portefeuilles crypto, extraction de données de navigateurs, énumération système et contournement UAC.
-
Abus d’infrastructures légitimes ☁️🧰: L’attaque illustre l’abus de services cloud légitimes (workers[.]dev/Cloudflare Workers) et d’outils de sécurité (Velociraptor) pour des activités de post‑exploitation et de C2.
-
Cadrage temporel et veille 🔎: L’ajout à la CISA KEV (24 octobre) et la publication d’une mise à jour hors bande par Microsoft encadrent une fenêtre d’exploitation « opportuniste » rapidement industrialisée.
IOC observés 🧪:
- Domaines/Subdomaines: webhook[.]site; royal-boat-bf05.qgtxtebl.workers[.]dev; chat.hcqhajfv.workers[.]dev
- IP/URL: 185.69.24[.]18/singapure
- Fichier: v3.msi (Velociraptor 0.73.4)
TTPs (MITRE ATT&CK, synthèse) 🧩:
- Exploit: RCE non authentifiée sur WSUS via CVE-2025-59287; exploitation immédiate post-correctifs
- Exécution/Accès initial: PowerShell, cURL
- Exfiltration: webhook[.]site
- Command & Control: workers[.]dev (Cloudflare Workers)
- Élévation de privilèges/Persistance: Velociraptor 0.73.4 vulnérable (CVE-2025-6264) et configuré pour tunneling C2
- Charge utile: Skuld Stealer (Golang, UPX) avec vol de wallets crypto, données navigateur, recon système, bypass UAC
Type: analyse de menace visant à documenter une exploitation active, la chaîne d’attaque et les IoC/TTP observés.
🧠 TTPs et IOCs détectés
TTPs
[‘Exploitation de vulnérabilité: RCE non authentifiée sur WSUS via CVE-2025-59287’, ‘Exécution: PowerShell, cURL’, ‘Exfiltration: webhook[.]site’, ‘Command & Control: workers[.]dev (Cloudflare Workers)’, ‘Élévation de privilèges/Persistance: Velociraptor 0.73.4 vulnérable (CVE-2025-6264) et configuré pour tunneling C2’, ‘Charge utile: Skuld Stealer avec vol de wallets crypto, données navigateur, reconnaissance système, bypass UAC’]
IOCs
{‘domain’: [‘webhook[.]site’, ‘royal-boat-bf05.qgtxtebl.workers[.]dev’, ‘chat.hcqhajfv.workers[.]dev’], ‘ip’: [‘185.69.24[.]18’], ‘url’: [‘185.69.24[.]18/singapure’], ‘file’: [‘v3.msi (Velociraptor 0.73.4)’]}
🔗 Source originale : https://www.darktrace.com/blog/wsus-exploited-darktraces-analysis-of-post-exploitation-activities-related-to-cve-2025-59287