Veeam备份软件漏洞引发全球勒索软件攻击浪潮

阅读量80494

发布时间 : 2024-07-16 12:15:55

x
译文声明

本文是翻译文章,文章原作者 Pierluigi Paganini,文章来源:securityaffairs

原文地址:https://securityaffairs.com/165753/malware/ransomware-groups-target-veeam-backup-replication-bug.html

译文仅供参考,具体内容表达以及含义原文为准。

漏洞 CVE-2023-275327(CVSS 评分为 7.5)会影响 Veeam Backup & Replication 组件。攻击者可利用此问题获取存储在配置数据库中的加密凭据,从而可能导致访问备份基础结构主机。

该漏洞已于 2023 年 3 月得到解决,不久后,该问题的 PoC 漏洞利用代码被公开发布。

专家观察到,俄罗斯网络犯罪集团 FIN7 自 2023 年 4 月以来一直在利用该漏洞,黑莓的研究人员报告说,2024 年 6 月,一名威胁行为者使用 Akira 勒索软件瞄准了一家拉丁美洲航空公司。对目标网络的最初访问是通过安全外壳 (SSH) 协议进行的,攻击者在第二天部署 Akira 勒索软件之前泄露了关键数据。他们滥用合法工具和生活异地二进制文件和脚本 (LOLBAS) 进行侦察和持久性。数据泄露完成后,攻击者部署勒索软件来加密受感染的系统。Akira 是一种勒索软件即服务 (RaaS),已被 Storm-1567(又名 Punk Spider 和 GOLD SAHARA)使用,该组织自 2023 年以来一直活跃。对 Remmina 相关域的 DNS 查询等指标表明攻击者可能是基于 Linux 的用户。

以下是 Akira 攻击链的第 1 天和第 2 天:

Veeam Backup & Replication akira ransomware attack
Veeam Backup & Replication akira ransomware attack

在对一家拉丁美洲航空公司的攻击中,攻击者首次通过路由器 IP 地址的 SSH 对未打补丁的 Veeam 备份服务器进行可见访问。专家认为,攻击者利用公开可用的漏洞漏洞CVE-2023-27532。

进入网络后,攻击者创建了一个名为“backup”的用户,并将其添加到管理员组以保护提升的权限。攻击者部署了合法的网络管理工具高级 IP 扫描程序来扫描通过“路由打印”识别的本地子网。

攻击者通过访问 Veeam 备份文件夹来控制 Veeam 备份数据,并压缩和上传各种文件类型(包括文档、图像和电子表格),以收集机密和有价值的信息。攻击者使用免费的 Windows 文件管理器 WinSCP 将数据泄露到他们控制的服务器。

从初始登录到数据泄露的整个操作仅用了 133 分钟,最终命令在 UTC 时间下午 4:55 结束。

“当NetScan在主Veeam备份服务器上运行时,通过防病毒用户界面(UI)和命令行在虚拟机主机上禁用了防病毒(AV)保护,”BlackBerry发布的报告写道。“现在,持久性已经完全到位,威胁行为者试图使用Veeam备份服务器作为控制点,在全网范围内部署勒索软件。我们看到文件“w.exe”(Akira 勒索软件)被部署在受感染的 Veeam 服务器的各种主机上。

Group-IB 研究人员还发现了一个勒索软件组织利用 Veeam Backup & Replication 实例中的漏洞。专家报告称,2024 年 4 月,EstateRansomware 团伙使用 PoC 漏洞利用代码针对漏洞 CVE-2023-27532。

本文翻译自securityaffairs 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66