- 12,454
- 18
- 8 Ноя 2022
Исправленная уязвимость стала инструментом вымогателей.
Исправленная уязвимость в Veeam Backup & Replication используется новой программой-вымогателем EstateRansomware. Компания Group-IB , которая Для просмотра ссылки Войдиили Зарегистрируйся злоумышленника в начале апреля 2024 года, заявила, что атака включала эксплуатацию уязвимости CVE-2023-27532 для осуществления вредоносной деятельности.
Для просмотра ссылки Войдиили Зарегистрируйся (оценка CVSS: 7.5) позволяет получить зашифрованные учетные данные, хранящиеся в базе данных конфигурации, что может привести к получению доступа к хостам инфраструктуры резервного копирования.
Ошибка была Для просмотра ссылки Войдиили Зарегистрируйся 2023 года, а затем для недостатка Для просмотра ссылки Войди или Зарегистрируйся PoC-эксплоит. Уязвимость затрагивает все версии софта и может быть использована неавторизованными злоумышленниками для кражи учетных данных и удаленного выполнения кода от имени SYSTEM.
Цепочка атаки
Сообщается, что первоначальный доступ к целевой среде был осуществлен с помощью устройства SSL VPN брандмауэра Fortinet FortiGate с использованием неактивной учетной записи «Acc1». Злоумышленник перешел от межсетевого экрана FortiGate к сервису SSL VPN, чтобы получить доступ к отказоустойчивому серверу.
Затем хакер приступил к установке RDP-подключений от брандмауэра к отказоустойчивому серверу, после чего развернул постоянный бэкдор под названием «svchost.exe», который ежедневно выполняется в рамках запланированной задачи.
Последующий доступ к сети был осуществлен с помощью бэкдора для избежания обнаружения. Основная задача бэкдора — подключиться к C2-серверу по HTTP и выполнить произвольные команды.
Group-IB обнаружила, как злоумышленник эксплуатирует уязвимость Veeam с целью включить xp_cmdshell на сервере резервного копирования и создать мошенническую учетную запись пользователя с именем «VeeamBkp», а также выполняет действия по обнаружению сети, перечислению и сбору учетных данных с использованием инструментов NetScan, AdFind и NitSoft.
Эксплуатация потенциально включала атаку, исходящую из папки VeeamHax на файловом сервере, против уязвимой версии Veeam Backup & Replication, установленной на сервере резервного копирования. Такая деятельность способствовала активации Для просмотра ссылки Войдиили Зарегистрируйся «xp_cmdshell» и последующему созданию учетной записи «VeeamBkp».
Отметим, что Защитник Windows был окончательно отключен с помощью DC.exe (Defender Control), после чего была осуществлена загрузка и выполнение программы-вымогателя с помощью Для просмотра ссылки Войдиили Зарегистрируйся Также перед этим были предприняты шаги по ослаблению защиты и боковому перемещению с сервера AD на все другие серверы и рабочие станции с использованием скомпрометированных учетных записей домена.
Исправленная уязвимость в Veeam Backup & Replication используется новой программой-вымогателем EstateRansomware. Компания Group-IB , которая Для просмотра ссылки Войди
Для просмотра ссылки Войди
Ошибка была Для просмотра ссылки Войди
Цепочка атаки
Сообщается, что первоначальный доступ к целевой среде был осуществлен с помощью устройства SSL VPN брандмауэра Fortinet FortiGate с использованием неактивной учетной записи «Acc1». Злоумышленник перешел от межсетевого экрана FortiGate к сервису SSL VPN, чтобы получить доступ к отказоустойчивому серверу.
Затем хакер приступил к установке RDP-подключений от брандмауэра к отказоустойчивому серверу, после чего развернул постоянный бэкдор под названием «svchost.exe», который ежедневно выполняется в рамках запланированной задачи.
Последующий доступ к сети был осуществлен с помощью бэкдора для избежания обнаружения. Основная задача бэкдора — подключиться к C2-серверу по HTTP и выполнить произвольные команды.
Group-IB обнаружила, как злоумышленник эксплуатирует уязвимость Veeam с целью включить xp_cmdshell на сервере резервного копирования и создать мошенническую учетную запись пользователя с именем «VeeamBkp», а также выполняет действия по обнаружению сети, перечислению и сбору учетных данных с использованием инструментов NetScan, AdFind и NitSoft.
Эксплуатация потенциально включала атаку, исходящую из папки VeeamHax на файловом сервере, против уязвимой версии Veeam Backup & Replication, установленной на сервере резервного копирования. Такая деятельность способствовала активации Для просмотра ссылки Войди
Отметим, что Защитник Windows был окончательно отключен с помощью DC.exe (Defender Control), после чего была осуществлена загрузка и выполнение программы-вымогателя с помощью Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
