Хакеры загадочным способом проникают на серверы и проводят сетевую разведку.
Специалисты ИБ-компании WithSecure сообщают , что российская киберпреступная группировка FIN7 (Anunak, Carbanak) использует неисправленные экземпляры приложения для резервного копирования Veeam`s Backup & Replication (VBR) в атаках.
В конце марта 2023 года компания WithSecure зафиксировала атаки FIN7 на серверы, доступные в Интернете, на которых работало программное обеспечение Veeam Backup & Replication. В ходе атак хакеры выполняли полезные нагрузки в скомпрометированной среде.
Эксперты наблюдали, как процесс Veeam Backup выполняет команду оболочки для загрузки и выполнения сценария PowerShell - дроппера группировки PowerTrash. Дроппер использовался для доставки бэкдора DICELOADER (Lizar, Tirion), который позволяет злоумышленникам выполнять различные действия после эксплуатации и который ранее был связан с группой FIN7.
«Точный метод, используемый злоумышленником для вызова начальных команд оболочки, остается неизвестным, но, вероятно, он был достигнут благодаря недавно исправленной уязвимости Veeam Backup & Replication, CVE-2023-27532, которая может обеспечить неавторизованный доступ к экземпляру Veeam Backup & Replication», — заявили в WithSecure.
CVE-2023-27532 (оценка CVSS: 7.5) была исправлена ​​в начале марта , а затем для этой уязвимости был опубликован PoC-код. Ошибка затрагивает все версии софта и может быть использована неавторизованными злоумышленниками для кражи учетных данных и удаленного выполнения кода от имени SYSTEM.
За несколько дней перед заражением серверов злоумышленники внедрялись в экземпляры Veeam – так они выявляли уязвимые серверы. Вредоносная деятельность позволила хакерам:<ul><li>выполнять сетевую разведку;</li>
</ul><ul><li>похищать информацию из резервной базы данных Veeam;</li>
</ul><ul><li>извлекать сохраненные учетные данные;</li>
</ul><ul><li>устанавливать устойчивость бэкдора DICELOADER;</li>
</ul><ul><li>совершать боковое (горизонтальное) перемещение, используя украденные учетные данные.</li>
</ul>На данный момент WithSecure выявила 2 случая атак FIN7. Поскольку первоначальная активность в обоих экземплярах была инициирована с одного и того же общедоступного IP-адреса в один и тот же день, вполне вероятно, что эти инциденты были частью более крупной кампании. Однако, учитывая редкость открытых серверов резервного копирования Veeam с TCP-портом 9401, можно предположить, что возможности этой атаки ограничены.