Недавно обнаруженная уязвимость Veeam уже используется хакерами FIN7 для кражи конфиденциальных данных

Специалисты ИБ-компании WithSecure сообщают , что российская киберпреступная группировка FIN7 (Anunak, Carbanak) использует неисправленные экземпляры приложения для резервного копирования Veeam`s Backup & Replication (VBR) в атаках.

В конце марта 2023 года компания WithSecure зафиксировала атаки FIN7 на серверы, доступные в Интернете, на которых работало программное обеспечение Veeam Backup & Replication. В ходе атак хакеры выполняли полезные нагрузки в скомпрометированной среде.

Эксперты наблюдали, как процесс Veeam Backup выполняет команду оболочки для загрузки и выполнения сценария PowerShell - дроппера группировки PowerTrash. Дроппер использовался для доставки бэкдора DICELOADER (Lizar, Tirion), который позволяет злоумышленникам выполнять различные действия после эксплуатации и который ранее был связан с группой FIN7.

«Точный метод, используемый злоумышленником для вызова начальных команд оболочки, остается неизвестным, но, вероятно, он был достигнут благодаря недавно исправленной уязвимости Veeam Backup & Replication, CVE-2023-27532, которая может обеспечить неавторизованный доступ к экземпляру Veeam Backup & Replication», — заявили в WithSecure.

CVE-2023-27532 (оценка CVSS: 7.5) была исправлена ​​в начале марта , а затем для этой уязвимости был опубликован PoC-код. Ошибка затрагивает все версии софта и может быть использована неавторизованными злоумышленниками для кражи учетных данных и удаленного выполнения кода от имени SYSTEM.

За несколько дней перед заражением серверов злоумышленники внедрялись в экземпляры Veeam – так они выявляли уязвимые серверы. Вредоносная деятельность позволила хакерам:

• выполнять сетевую разведку;
• похищать информацию из резервной базы данных Veeam;
• извлекать сохраненные учетные данные;
• устанавливать устойчивость бэкдора DICELOADER;
• совершать боковое (горизонтальное) перемещение, используя украденные учетные данные.

На данный момент WithSecure выявила 2 случая атак FIN7. Поскольку первоначальная активность в обоих экземплярах была инициирована с одного и того же общедоступного IP-адреса в один и тот же день, вполне вероятно, что эти инциденты были частью более крупной кампании. Однако, учитывая редкость открытых серверов резервного копирования Veeam с TCP-портом 9401, можно предположить, что возможности этой атаки ограничены.