Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Недавно обнаруженная уязвимость Veeam уже используется хакерами FIN7 для кражи конфиденциальных данных

28/04/23

hero_veeam_backup-v2

Специалисты ИБ-компании WithSecure сообщают , что российская киберпреступная группировка FIN7 (Anunak, Carbanak) использует неисправленные экземпляры приложения для резервного копирования Veeam`s Backup & Replication (VBR) в атаках.

В конце марта 2023 года компания WithSecure зафиксировала атаки FIN7 на серверы, доступные в Интернете, на которых работало программное обеспечение Veeam Backup & Replication. В ходе атак хакеры выполняли полезные нагрузки в скомпрометированной среде, согласно Securitylab.

Эксперты наблюдали, как процесс Veeam Backup выполняет команду оболочки для загрузки и выполнения сценария PowerShell - дроппера группировки PowerTrash. Дроппер использовался для доставки бэкдора DICELOADER (Lizar, Tirion), который позволяет злоумышленникам выполнять различные действия после эксплуатации и который ранее был связан с группой FIN7.

«Точный метод, используемый злоумышленником для вызова начальных команд оболочки, остается неизвестным, но, вероятно, он был достигнут благодаря недавно исправленной уязвимости Veeam Backup & Replication, CVE-2023-27532, которая может обеспечить неавторизованный доступ к экземпляру Veeam Backup & Replication», — заявили в WithSecure.

CVE-2023-27532 (оценка CVSS: 7.5) была исправлена ​​в начале марта , а затем для этой уязвимости был опубликован PoC-код. Ошибка затрагивает все версии софта и может быть использована неавторизованными злоумышленниками для кражи учетных данных и удаленного выполнения кода от имени SYSTEM.

За несколько дней перед заражением серверов злоумышленники внедрялись в экземпляры Veeam – так они выявляли уязвимые серверы. Вредоносная деятельность позволила хакерам:

  • выполнять сетевую разведку;
  • похищать информацию из резервной базы данных Veeam;
  • извлекать сохраненные учетные данные;
  • устанавливать устойчивость бэкдора DICELOADER;
  • совершать боковое (горизонтальное) перемещение, используя украденные учетные данные.

На данный момент WithSecure выявила 2 случая атак FIN7. Поскольку первоначальная активность в обоих экземплярах была инициирована с одного и того же общедоступного IP-адреса в один и тот же день, вполне вероятно, что эти инциденты были частью более крупной кампании. Однако, учитывая редкость открытых серверов резервного копирования Veeam с TCP-портом 9401, можно предположить, что возможности этой атаки ограничены.

Темы:УгрозыVeeamFin7WithSecure
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...