Veeam yedekleme sunucuları, birden fazla yüksek profilli fidye yazılımı çetesiyle çalıştığı bilinen en az bir grup tehdit aktörü tarafından hedefleniyor.
FIN7 saldırıları, 28 Mart'tan bu yana, bir istismarın veeam yedekleme ve replikasyon (VBR) yazılımında yüksek şiddetli bir güvenlik açığı için kullanılabilir hale gelmesinden bir haftadan kısa bir süre sonra girişlerde yankılanan kötü niyetli aktivite ve yankılanan araçlar gözlenmiştir.
CVE-2023-27532 olarak izlenen güvenlik sorunu, VBR yapılandırmasında depolanan şifreli kimlik bilgilerini yedekleme altyapısında kimlik doğrulanmamış kullanıcılara maruz bırakır. Bu, yedek altyapı ana bilgisayarlarına erişmek için kullanılabilir.
Yazılım satıcısı sorunu 7 Mart'ta düzeltti ve geçici çözüm talimatları sağladı.
23 Mart'ta Horizon3 Pentesting Company, CVE-2023-27532 için bir istismar yayınladı ve bu da teminatsız bir API uç noktasının kimlik bilgilerini düz metinde çıkarmak için nasıl istismar edilebileceğini gösterdi. Güvenlik açığından yararlanan bir saldırgan, en yüksek ayrıcalıklarla uzaktan kodu çalıştırabilir.
O sırada Huntress Labs, savunmasız görünen yaklaşık 7.500 internete maruz kalan VBR ana bilgisayarının olduğu konusunda uyardı.
Finlandiya Siber Güvenlik ve Gizlilik Şirketi'ndeki tehdit araştırmacıları, bu hafta bir raporda, Mart ayı sonlarında gözlemledikleri saldırıların, halka açık web üzerinden erişilebilen Veeam yedekleme ve çoğaltma yazılımını çalıştıran sunucuları hedefledikleri bir raporda.
Taktikler, teknikler ve prosedürler daha önce FIN7'ye atfedilen etkinliğe benzerdi.
Kampanyanın zamanlamasına dayanarak, TCP bağlantı noktası 9401on tehlikeye atılmış sunucular ve VBR'nin savunmasız bir versiyonunu çalıştıran ana bilgisayarlar, davetsiz misafirin muhtemelen CVE-2023-27532 erişim ve kötü niyetli kod yürütme güvenlik açığından yararlandığına inanıyor.
Araştırmacılar, Secure'nin son nokta algılama ve yanıtından (EDR) telemetri verilerini kullanarak bir tehdit avı egzersizi yaparken, şüpheli uyarılar oluşturan bazı Veeam sunucularını fark ettiler (örn. SQLServr.exe Powershell komut dosyalarını indirme).
Tehdit oyuncusunun başlangıçta Fin7'ye atfedilen geçmiş saldırılarda görülen PowerTrash PowerShell betiğini, bir yükü içeren bir yük - Diceloader/Lizar Backdoor'u, tehlikeye atılan makinede yürütülecek olduğunu gösterdi.
Tirion olarak da izlenen Delikoader, geçmişte FIN7 kötü niyetli etkinliğe de bağlanmıştır. Bu çeteye atfedilen daha yeni olayların, maniant araştırmacıların Powerplant dediği farklı bir arka kapıdan yararlandığını belirtmek gerekir.
Withecure, saldırılarda görülen PowerShell komut dosyalarının (ICSND16_64REFL.PS1, ICBT11801_64REFL.PS1) adlarının FIN7 dosyaları için daha önce bildirilen adlandırma kuralını izlediğini vurgular.
Withecure'de kıdemli bir araştırmacı olan Neeraj Singh, BleepingComputer'a Delikoader ve Powertrash'ın FIN7 etkinliğine tek bağlantı olmadığını söyledi.
IP adreslerini ana bilgisayar adlarına çözmek için bir PowerShell komut dosyası (host_ip.ps1) ve saldırının yan hareket aşamasında keşif için kullanılan özel bir komut dosyası da FIN7'nin araç setinin bir parçası olduğu bilinmektedir.
Singh, FIN7'ye atfedilen etkinlik hakkında önceki raporlarla diğer teknik örtüşmeler de gözlemlediklerini söyledi. Bazı örnekler, komut satırı yürütme modellerinin yanı sıra dosya adlandırma kurallarıdır.
Ana bilgisayara eriştikten sonra, bilgisayar korsanları sistem ve ağ bilgilerini toplamak için kötü amaçlı yazılımlarını, çeşitli komutları ve özel komut dosyalarını ve Veeam yedek veritabanından kimlik bilgilerini kullandılar.
Diceloader için kalıcılığa, Powhold adlı özel bir PowerShell betiğine ulaşıldı, Withecure'deki araştırmacılar, tehdit aktörünün çalıntı kimlik bilgilerini kullanarak yanal harekete teşebbüs ettiğini, WMI taahhütleri ve 'net paylaşım' komutlarına erişimini test ettiğini söyledi.
Withecure, saldırganın yanal hareket çabalarında başarılı olduğunu bildiriyor. Çalınan kimlik bilgilerini kullanarak, bilgisayar korsanları PowerShell komut dosyalarını hedefin idari hisselerine bırakmak için KOBİ iletişim protokolüne güveniyordu.
Bu kampanyadaki tehdit aktörlerinin nihai hedefi, son yükü dikmeden veya yürütmeden önce saldırılar kesintiye uğradığı için belirsizliğini koruyor.
Ancak araştırmacılar, saldırı zinciri başarıyla tamamlanırsa, müdahalelerin fidye yazılımı dağıtımı ile sona erebileceğini söylüyor. Veri hırsızlığı başka bir potansiyel sonuç olabilir.
Withecure, Veeam yedekleme ve çoğaltma yazılımını kullanan kuruluşların sağladıkları bilgileri kulak vermelerini ve ağlarında uzlaşma belirtileri aramak için kullanmasını önerir.
İlk kabuk komutlarını çağırmanın kesin yöntemi bilinmemektedir ve CVE-2023-27532'nin kullanıldığının kanıtı net olmasa bile, şirketler diğer tehdit aktörleri onu kullanabileceği için güvenlik açığını yamaya öncelik vermelidir.
Fin7, meşhur Conti sendikası, Revil, Labirent, Egregor ve Blackbasta tarafından yönetilenler de dahil olmak üzere çeşitli fidye yazılımı operasyonlarıyla ortaklığı ile bilinir.
Son zamanlarda, IBM araştırmacıları FIN7 hakkında eski Conti üyeleriyle birlikte, Domino adlı yeni bir kötü amaçlı yazılım suşu dağıtmak için bir araya gelerek, tehlikeye atılan konakçıya erişim sağlayan ve ayrıca artan kalıcılık için bir kobalt grev işaretçisi ekmesine izin veriyor.
IBM araştırmacıları raporlarında, Domino ve Fin7 arasındaki bağlantı, dikil yükleyici ile büyük bir kod örtüşmesine dayanıyordu.
Clear Metin Kimlik Bilgisi Hırsızlığı'na izin veren Veeam hatası için piyasaya sürülen istismar
Hacker'ların yedekleme altyapısını ihlal etmesine izin veren veeam düzeltiyor
VM2 Kütüphanesi için Mevcut Yeni Sandbox Escape POC istismarı, Şimdi Yama
Alphv Ransomware, ilk erişim için veritas backup exec hatalarını istismar ediyor
Ransomware'de Hafta - 28 Nisan 2023 - Tekrar Clop
Kaynak: Bleeping Computer