Хакеры угрожают уязвимым серверам резервного копирования Veeam

Серверы резервного копирования Veeam стали мишенью как минимум одной группы злоумышленников, которые, как известно, сотрудничают с несколькими известными бандами вымогателей.

Хакеры угрожают уязвимым серверам резервного копирования Veeam. Фото: СС0

Вредоносная деятельность и инструменты, повторяющие атаки FIN7, наблюдались во вторжениях с 28 марта, менее чем через неделю после того, как стал доступен эксплойт для уязвимости высокой степени серьезности в программном обеспечении Veeam Backup and Replication (VBR).

CVE-2023-27532 предоставляет зашифрованные учетные данные, хранящиеся в конфигурации VBR, не прошедшим проверку подлинности пользователям в инфраструктуре резервного копирования. Это можно использовать для доступа к узлам инфраструктуры резервного копирования.

Поставщик программного обеспечения исправил проблему 7 марта и предоставил инструкции по обходному пути.

23 марта компания Horizon3, занимающаяся пентестингом, выпустила эксплойт для CVE-2023-27532, который также продемонстрировал, как можно злоупотреблять незащищенной конечной точкой API для извлечения учетных данных в виде простого текста. Злоумышленник, использующий уязвимость, также может удаленно запускать код с наивысшими привилегиями.

В то время Huntress Labs предупредила, что все еще существует около 7500 хостов VBR, открытых в Интернете, которые кажутся уязвимыми.

Исследователи угроз из финской компании WithSecure, занимающейся кибербезопасностью и конфиденциальностью, отмечают в отчете на этой неделе, что атаки, которые они наблюдали в конце марта, были нацелены на серверы с программным обеспечением Veeam Backup and Replication, которые были доступны через общедоступную сеть.

Тактика, методы и процедуры были аналогичны действиям, ранее приписываемым FIN7.

Открытый TCP-порт 9401 на скомпрометированных серверах и хостах с уязвимой версией VBR позволяет злоумышленникам использовать уязвимость CVE-2023-27532 для доступа и выполнения вредоносного кода.

Поиск угроз с использованием данных телеметрии из Endpoint Detection and Response (EDR) WithSecure показал, что некоторые серверы Veeam генерируют подозрительные предупреждения (например, sqlservr.exe порождает cmd.exe и загружает сценарии PowerShell).

Исследователи выяснили, что субъект угрозы изначально выполнил сценарий PowerTrash PowerShell, замеченный в прошлых атаках, приписываемых FIN7 , который включал полезную нагрузку — бэкдор DiceLoader/Lizar, который должен быть выполнен на скомпрометированной машине.

DiceLoader, также отслеживаемый как Tirion, в прошлом также был связан с вредоносной активностью FIN7. Стоит отметить, что в более поздних инцидентах, приписываемых этой банде, использовался другой бэкдор, который исследователи Mandiant называют PowerPlant.

В WithSecure подчеркивают, что имена для сценариев PowerShell ( icsnd16_64refl.ps1 , icbt11801_64refl.ps1 ), замеченных в атаках, соответствовали соглашению об именах, о котором ранее сообщалось для файлов FIN7.

Конечная цель злоумышленников в этой кампании остается неясной, поскольку атаки были прерваны до установки или выполнения последней полезной нагрузки.

Однако исследователи говорят, что вторжения могли закончиться развертыванием программ-вымогателей, если цепочка атак завершилась успешно. Кража данных могла быть еще одним потенциальным последствием действий злоумышленников.

В WithSecure рекомендует организациям, использующим программное обеспечение Veeam Backup and Replication, учитывать предоставленную ими информацию и использовать ее для поиска признаков компрометации в своей сети.

Даже если точный метод вызова исходных команд оболочки остается неизвестным, а доказательства использования CVE-2023-27532 неясны, компаниям следует уделить первоочередное внимание исправлению уязвимости, поскольку ею могут попытаться воспользоваться другие злоумышленники.

FIN7 известна своим партнерством с различными операциями по вымогательству, в том числе с печально известным синдикатом Conti, REvil, Maze, Egregor и BlackBasta.

Недавно исследователи IBM опубликовали отчет о том, что FIN7 объединилась с бывшими членами Conti для распространения нового штамма вредоносного ПО под названием Domino, которое обеспечивает доступ к скомпрометированному хосту, а также позволяет установить маяк Cobalt Strike для повышения устойчивости.

Связь между Domino и FIN7 была основана на массовом совпадении кода с DiceLoader, отмечают исследователи IBM в своем отчете.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме