【安全圈】Veeam备份软件漏洞引发全球勒索软件攻击浪潮

关键词

漏洞 CVE-2023-275327（CVSS 评分为 7.5）会影响 Veeam Backup & Replication 组件。攻击者可利用此问题获取存储在配置数据库中的加密凭据，从而可能导致访问备份基础结构主机。

该漏洞已于 2023 年 3 月得到解决，不久后，该问题的 PoC 漏洞利用代码被公开发布。

专家观察到，俄罗斯网络犯罪集团 FIN7 自 2023 年 4 月以来一直在利用该漏洞，黑莓的研究人员报告说，2024 年 6 月，一名威胁行为者使用 Akira 勒索软件瞄准了一家拉丁美洲航空公司。对目标网络的最初访问是通过安全外壳（SSH）协议进行的，攻击者在第二天部署 Akira 勒索软件之前泄露了关键数据。他们滥用合法工具和生活异地二进制文件和脚本（LOLBAS）进行侦察和持久性。数据泄露完成后，攻击者部署勒索软件来加密受感染的系统。Akira 是一种勒索软件即服务（RaaS），已被 Storm-1567（又名 Punk Spider 和 GOLD SAHARA）使用，该组织自 2023 年以来一直活跃。对 Remmina 相关域的 DNS 查询等指标表明攻击者可能是基于 Linux 的用户。

以下是 Akira 攻击链的第 1 天和第 2 天：

在对一家拉丁美洲航空公司的攻击中，攻击者首次通过路由器 IP 地址的 SSH 对未打补丁的 Veeam 备份服务器进行可见访问。专家认为，攻击者利用公开可用的漏洞漏洞CVE-2023-27532。

进入网络后，攻击者创建了一个名为“backup”的用户，并将其添加到管理员组以保护提升的权限。攻击者部署了合法的网络管理工具高级 IP 扫描程序来扫描通过“路由打印”识别的本地子网。

攻击者通过访问 Veeam 备份文件夹来控制 Veeam 备份数据，并压缩和上传各种文件类型（包括文档、图像和电子表格），以收集机密和有价值的信息。攻击者使用免费的 Windows 文件管理器 WinSCP 将数据泄露到他们控制的服务器。

从初始登录到数据泄露的整个操作仅用了 133 分钟，最终命令在 UTC 时间下午 4：55 结束。

“当NetScan在主Veeam备份服务器上运行时，通过防病毒用户界面（UI）和命令行在虚拟机主机上禁用了防病毒（AV）保护，”BlackBerry发布的报告写道。“现在，持久性已经完全到位，威胁行为者试图使用Veeam备份服务器作为控制点，在全网范围内部署勒索软件。我们看到文件“w.exe”（Akira 勒索软件）被部署在受感染的 Veeam 服务器的各种主机上。

Group-IB 研究人员还发现了一个勒索软件组织利用 Veeam Backup & Replication 实例中的漏洞。专家报告称，2024 年 4 月，EstateRansomware 团伙使用 PoC 漏洞利用代码针对漏洞 CVE-2023-27532。

END

阅读推荐

【安全圈】北京海淀警方发布三起严厉打击涉网违法犯罪案例