Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Недавно обнаруженная уязвимость Veeam уже используется хакерами FIN7 для кражи конфиденциальных данных

6640
WithSecure FIN7 Veeam Backup & Replication Veeam Anunak Carbanak PowerTrash DICELOADER дроппер бэкдор PoC-код PoC
Недавно обнаруженная уязвимость Veeam уже используется хакерами FIN7 для кражи конфиденциальных данных
WithSecure FIN7 Veeam Backup & Replication Veeam Anunak Carbanak PowerTrash DICELOADER дроппер бэкдор PoC-код PoC

Хакеры загадочным способом проникают на серверы и проводят сетевую разведку.

image

Специалисты ИБ-компании WithSecure сообщают, что российская киберпреступная группировка FIN7 (Anunak, Carbanak) использует неисправленные экземпляры приложения для резервного копирования Veeam`s Backup & Replication (VBR) в атаках.

В конце марта 2023 года компания WithSecure зафиксировала атаки FIN7 на серверы, доступные в Интернете, на которых работало программное обеспечение Veeam Backup & Replication. В ходе атак хакеры выполняли полезные нагрузки в скомпрометированной среде.

Эксперты наблюдали, как процесс Veeam Backup выполняет команду оболочки для загрузки и выполнения сценария PowerShell - дроппера группировки PowerTrash. Дроппер использовался для доставки бэкдора DICELOADER (Lizar, Tirion), который позволяет злоумышленникам выполнять различные действия после эксплуатации и который ранее был связан с группой FIN7.

«Точный метод, используемый злоумышленником для вызова начальных команд оболочки, остается неизвестным, но, вероятно, он был достигнут благодаря недавно исправленной уязвимости Veeam Backup & Replication, CVE-2023-27532, которая может обеспечить неавторизованный доступ к экземпляру Veeam Backup & Replication», — заявили в WithSecure.

CVE-2023-27532 (оценка CVSS: 7.5) была исправлена ​​в начале марта, а затем для этой уязвимости был опубликован PoC-код. Ошибка затрагивает все версии софта и может быть использована неавторизованными злоумышленниками для кражи учетных данных и удаленного выполнения кода от имени SYSTEM.

За несколько дней перед заражением серверов злоумышленники внедрялись в экземпляры Veeam – так они выявляли уязвимые серверы. Вредоносная деятельность позволила хакерам:

  • выполнять сетевую разведку;
  • похищать информацию из резервной базы данных Veeam;
  • извлекать сохраненные учетные данные;
  • устанавливать устойчивость бэкдора DICELOADER;
  • совершать боковое (горизонтальное) перемещение, используя украденные учетные данные.

На данный момент WithSecure выявила 2 случая атак FIN7. Поскольку первоначальная активность в обоих экземплярах была инициирована с одного и того же общедоступного IP-адреса в один и тот же день, вполне вероятно, что эти инциденты были частью более крупной кампании. Однако, учитывая редкость открытых серверов резервного копирования Veeam с TCP-портом 9401, можно предположить, что возможности этой атаки ограничены.