漏洞 CVE-2023-275327(CVSS 评分为 7.5)会影响 Veeam Backup & Replication 组件。攻击者可利用此问题获取存储在配置数据库中的加密凭据,从而可能导致访问备份基础结构主机。
该漏洞已于 2023 年 3 月得到解决,不久后,该问题的 PoC 漏洞利用代码被公开发布。
专家观察到,俄罗斯网络犯罪集团 FIN7 自 2023 年 4 月以来一直在利用该漏洞,黑莓的研究人员报告说,2024 年 6 月,一名威胁行为者使用 Akira 勒索软件瞄准了一家拉丁美洲航空公司。对目标网络的最初访问是通过安全外壳 (SSH) 协议进行的,攻击者在第二天部署 Akira 勒索软件之前泄露了关键数据。他们滥用合法工具和生活异地二进制文件和脚本 (LOLBAS) 进行侦察和持久性。数据泄露完成后,攻击者部署勒索软件来加密受感染的系统。Akira 是一种勒索软件即服务 (RaaS),已被 Storm-1567(又名 Punk Spider 和 GOLD SAHARA)使用,该组织自 2023 年以来一直活跃。对 Remmina 相关域的 DNS 查询等指标表明攻击者可能是基于 Linux 的用户。
以下是 Akira 攻击链的第 1 天和第 2 天:
在对一家拉丁美洲航空公司的攻击中,攻击者首次通过路由器 IP 地址的 SSH 对未打补丁的 Veeam 备份服务器进行可见访问。专家认为,攻击者利用公开可用的漏洞漏洞CVE-2023-27532。
进入网络后,攻击者创建了一个名为“backup”的用户,并将其添加到管理员组以保护提升的权限。攻击者部署了合法的网络管理工具高级 IP 扫描程序来扫描通过“路由打印”识别的本地子网。
攻击者通过访问 Veeam 备份文件夹来控制 Veeam 备份数据,并压缩和上传各种文件类型(包括文档、图像和电子表格),以收集机密和有价值的信息。攻击者使用免费的 Windows 文件管理器 WinSCP 将数据泄露到他们控制的服务器。
从初始登录到数据泄露的整个操作仅用了 133 分钟,最终命令在 UTC 时间下午 4:55 结束。
“当NetScan在主Veeam备份服务器上运行时,通过防病毒用户界面(UI)和命令行在虚拟机主机上禁用了防病毒(AV)保护,”BlackBerry发布的报告写道。“现在,持久性已经完全到位,威胁行为者试图使用Veeam备份服务器作为控制点,在全网范围内部署勒索软件。我们看到文件“w.exe”(Akira 勒索软件)被部署在受感染的 Veeam 服务器的各种主机上。
Group-IB 研究人员还发现了一个勒索软件组织利用 Veeam Backup & Replication 实例中的漏洞。专家报告称,2024 年 4 月,EstateRansomware 团伙使用 PoC 漏洞利用代码针对漏洞 CVE-2023-27532。