Бэкапа не будет! Группировка UNC4466 добралась до серверов Veritas Backup Exec

Исследователями Mandiant недавно была раскрыта вредоносная кампания, в которой была замечена новая хакерская группировка, имеющая прямые связи с ALPHV/BlackCat. Злоумышленники использовали давно известные уязвимости для получения первоначального доступа к внутренним сетям Veritas.

Veritas Technologies LLC — это американская компания, специализирующаяся на разработке и предоставлении решений для управления информацией, включая резервное копирование, восстановление и архивирование данных, управление хранилищами данных и управление информационной безопасностью.

Вымогательские операции ALPHV/BlackCat уже много лет не сбавляют оборотов. Считается, что банда управляется бывшими участниками группировок Darkside и Blackmatter, которые были внезапно закрыты, чтобы избежать давления со стороны правоохранительных органов.

В данной кампании, по словам Mandiant, замешана ранее неизвестная хакерская группировка, которая является неким ответвлением от ALPHV/BlackCat, и тесно связана с ней. Исследователи отслеживают эту группировку под идентификатором «UNC4466» и отмечают, что её атаки не похожи на типичное вторжение, основанное на украденных учётных данных.

Mandiant сообщает, что 22 октября 2022 года она наблюдала самые первые случаи эксплуатации уязвимостей Veritas Backup Exec вышеописанной UNC4466. Уязвимости, о которых идёт речь, перечислены ниже:

• CVE-2021-27876 : Уязвимость произвольного доступа к файлам, вызванная ошибкой в ​​схеме аутентификации SHA. Позволяет удаленному злоумышленнику получить несанкционированный доступ к уязвимым конечным точкам (CVSS : 8,1).

• CVE-2021-27877 : Удаленный несанкционированный доступ и выполнение привилегированных команд агенту BE через аутентификацию SHA (CVSS: 8,2).

• CVE-2021-27878 : Уязвимость выполнения произвольных команд в результате ошибки в схеме аутентификации SHA. Позволяет удаленному злоумышленнику получить несанкционированный доступ к уязвимым конечным точкам (CVSS: 8,8).

Veritas раскрыла уязвимости ещё в марте 2021 года и выпустила исправление безопасности с версией 21.2. Однако даже два года спустя многие конечные точки до сих пор остаются уязвимыми, поскольку не были обновлены до безопасной версии. Mandiant заявляет, что в общедоступной сети сейчас находится свыше 8500 потенциально уязвимых IP-адресов Veritas Backup Exec. Хакерам это только на руку.

Модуль Metasploit, использованный для эксплуатации уязвимостей Backup Exec, был выпущен 23 сентября 2022 года. Он позволяет киберпреступникам создавать сеансы и взаимодействовать со взломанными конечными точками. Согласно Mandiant, хакеры UNC4466 начали активно использовать данный модуль уже через месяц после того, как он стал доступен.

Наблюдения специалистов показали, что хакеры UNC4466 при помощи Metasploit компрометируют доступные из Интернета уязвимые Windows-сервера, на базе которых работает Veritas Backup Exec и настраивают своё постоянство в целевых системах.

После первоначальной компрометации злоумышленники используют утилиты Advanced IP Scanner и ADRecon для сбора информации о среде жертвы. Затем на заражённый хост загружаются дополнительные инструменты, такие как LAZAGNE, LIGOLO, WINSW, RCLONE и, наконец, шифровальщик программы-вымогателя ALPHV/BlackCat через фоновую интеллектуальную службу передачи данных (BITS). Для связи с C2-сервером злоумышленники используют туннелирование SOCKS5.

Для повышения системных привилегий UNC4466 использует Mimikatz, LaZagne и Nanodump. Также хакеры уклоняются от обнаружения вредоносного софта путём очищения журналов событий Windows и отключения функции мониторинга Microsoft Defender в реальном времени.

Отчёт Mandiant содержит рекомендации, которым защитники могут следовать для своевременного обнаружения атак UNC4466 и смягчения их последствий до того, как полезная нагрузка ALPHV/BlackCat будет развёрнута в их системах.