多個勒索軟體持續利用Veeam去年修補的Backup & Replication中的高風險漏洞

利用該漏洞Akira勒索軟體,從初始登入到資料洩露的整個操作,僅花了 133 分鐘

Photo Credit: Veeam

備份軟體Veeam Backup & Replication中的漏洞CVE-2023-27532(CVSS風險評為7.5分),此漏洞的根源發生在Veeam.Backup.Service.exe元件。網路攻擊者可以利用這個漏洞來取得組態資料庫(configuration database)中儲存的加密憑證,從中取得備份基礎設施主機(backup infrastructure hosts)的存取權限。

該漏洞已於2023年3月獲得修補,不久後該漏洞的PoC漏洞利用程式碼(PoC exploit code)也被公開發布。

有關專家觀察到,俄羅斯網路犯罪組織FIN7自2023年4月以來一直在利用該漏洞。

2023年8月,發現古巴勒索軟體集團利用該漏洞進行攻擊後不久,美國網際安全暨基礎設施安全局CISA將 CVE-2023-27532 增加到其已知遭濫用之漏洞清單中。

新加坡威脅情報公司Group-IB研究人員也發現了一個勒索軟體組織利用了 Veeam Backup & Replication中的漏洞。有關專家的報告指出,2024年4月,EstateRansomware勒索軟體集團使用PoC漏洞利用程式碼來攻擊漏洞CVE-2023-27532。

在網路安全公司BlackBerry 的報告中揭露,於2024年6月,網路攻擊團體利用Akira勒索軟體攻擊了一家拉丁美洲航空公司。對目標網路的初始存取是透過 Secure Shell (SSH) 協定進行的,攻擊者在第二天部署Akira勒索軟體之前竊取了關鍵資料。一旦資料外洩成功,攻擊者就會部署勒索軟體來加密受感染的系統。Akira是一種勒索軟體,利用CVE-2023-27532的漏洞來攻擊鎖定的目標、創建未授權帳戶並竊取受害者數據。一旦進入網絡,攻擊者就會創建一個名為“backup”的account,並將其增加到管理員群組中以確保提升的權限。攻擊者部署了合法的網路管理工具Advanced IP Scanner來掃描透過route print識別的本地子網路。整個操作,從初始入侵到資料洩露,僅花了 133 分鐘。

據了解,操作Akira的駭客團體可能利用企業尚未修補的Veeam Backup & Replication漏洞,進而執行初始存取、部署各種後脅迫(post-exploitation)工具、執行Active Directory偵察並癱瘓安全防護產品。

Veeam備份資料的所有權是透過Veeam備份資料夾取得的,而網路攻擊者則從其他系統壓縮和上傳資料。此備份中包含文件、圖像和電子表格等常見的文件類型,勒索軟體集團企圖藉由收集並利用機密和有價值的數據來獲取自己的經濟利益。

Veeam 漏洞事件的部分的入侵指標(IOCs):

2c56e9beea9f0801e0110a7dc5549b4fa0661362                 

5e460a517f0579b831b09ec99ef158ac0dd3d4fa                 

107ec3a7ed7ad908774ad18e3e03d4b999d4690c