مجموعة جديدة من برامج الفدية تستغل ثغرة أمنية في برنامج النسخ الاحتياطي Veeam

يتم استغلال ثغرة أمنية تم تصحيحها الآن في برنامج Veeam Backup & Replication من خلال عملية فدية ناشئة تُعرف باسم EstateRansomware.

وقالت Group-IB، ومقرها سنغافورة، والتي اكتشفت جهة التهديد في أوائل أبريل 2024، إن طريقة العمل تضمنت استغلال CVE-2023-27532 (درجة CVSS: 7.5) لتنفيذ الأنشطة الضارة.

يقال إن الوصول الأولي إلى البيئة المستهدفة قد تم تسهيله عن طريق جهاز Fortinet FortiGate لجدار الحماية SSL VPN باستخدام حساب خامل.

“تمحور ممثل التهديد بشكل جانبي من جدار الحماية FortiGate من خلال خدمة SSL VPN للوصول إلى خادم تجاوز الفشل،” الباحث الأمني ​​Yeo Zi Wei قال في تحليل نشر اليوم.

“قبل هجوم برنامج الفدية، كانت هناك محاولات غاشمة لشبكة VPN في أبريل 2024 باستخدام حساب خامل تم تحديده باسم “Acc1”. بعد عدة أيام، تم إرجاع تسجيل دخول VPN ناجح باستخدام “Acc1″ إلى عنوان IP البعيد 149.28.106[.]252.”

بعد ذلك، شرع ممثلو التهديد في إنشاء اتصالات RDP من جدار الحماية إلى خادم تجاوز الفشل، متبوعًا بنشر باب خلفي مستمر يسمى “svchost.exe” يتم تنفيذه يوميًا من خلال مهمة مجدولة.

تم الوصول لاحقًا إلى الشبكة باستخدام الباب الخلفي لتجنب الكشف. المسؤولية الأساسية للباب الخلفي هي الاتصال بخادم القيادة والتحكم (C2) عبر HTTP وتنفيذ الأوامر التعسفية الصادرة عن المهاجم.

قالت Group-IB إنها لاحظت أن الممثل يستغل خلل Veeam CVE-2023-27532 بهدف تمكين xp_cmdshell على خادم النسخ الاحتياطي وإنشاء حساب مستخدم مخادع يسمى “VeeamBkp”، إلى جانب إجراء أنشطة اكتشاف الشبكة والتعداد وجمع بيانات الاعتماد باستخدام الأدوات مثل NetScan وAdFind وNitSoft عبر الحساب المنشأ حديثًا.

“من المحتمل أن يتضمن هذا الاستغلال هجومًا نشأ من مجلد VeeamHax على خادم الملفات ضد الإصدار الضعيف من برنامج Veeam Backup & Replication المثبت على خادم النسخ الاحتياطي،” افترض Zi Wei.

“لقد سهّل هذا النشاط تنشيط الإجراء المخزن xp_cmdshell والإنشاء اللاحق لحساب ‘VeeamBkp’.”

وبلغ الهجوم ذروته بنشر برنامج الفدية، ولكن ليس قبل اتخاذ خطوات لإضعاف الدفاعات والانتقال أفقيًا من خادم AD إلى جميع الخوادم ومحطات العمل الأخرى باستخدام حسابات المجال المخترقة.

“تم تعطيل Windows Defender نهائيًا باستخدام DC.exe [Defender Control]، يليه نشر برامج الفدية وتنفيذها باستخدام بسيكسيك.exe“، قالت المجموعة-IB.

ويأتي هذا الكشف في الوقت الذي كشفت فيه Cisco Talos أن معظم عصابات برامج الفدية تعطي الأولوية لإنشاء الوصول الأولي باستخدام العيوب الأمنية في التطبيقات العامة، أو مرفقات التصيد الاحتيالي، أو اختراق الحسابات الصالحة، والتحايل على الدفاعات في سلاسل الهجوم الخاصة بهم لزيادة وقت البقاء في شبكات الضحايا.

أدى نموذج الابتزاز المزدوج المتمثل في سحب البيانات قبل تشفير الملفات إلى ظهور أدوات مخصصة طورتها الجهات الفاعلة (على سبيل المثال، Exmatter وExbyte وStealBit) لإرسال المعلومات السرية إلى بنية تحتية يسيطر عليها الخصم.

وهذا يستلزم أن تقوم مجموعات الجريمة الإلكترونية هذه بإنشاء وصول طويل الأمد لاستكشاف البيئة من أجل فهم بنية الشبكة، وتحديد الموارد التي يمكن أن تدعم الهجوم، ورفع امتيازاتها، أو السماح لها بالاندماج، وتحديد البيانات ذات القيمة التي يمكن أن تدعمها. يمكن سرقتها.

“على مدى العام الماضي، شهدنا تحولات كبيرة في مجال برامج الفدية مع ظهور مجموعات جديدة متعددة من برامج الفدية، تعرض كل منها أهدافًا فريدة وهياكل تشغيلية وعلم الضحايا،” تالوس قال.

“يسلط التنويع الضوء على التحول نحو المزيد من أنشطة الجرائم الإلكترونية التي تستهدف المتاجر الصغيرة، حيث تقوم مجموعات مثل Hunters International وCactus وAkira بتكوين مجالات محددة، مع التركيز على أهداف تشغيلية متميزة وخيارات أسلوبية لتمييز نفسها.”

تم استغلال ثغرة Veeam أيضًا في هجمات Akira Ransomware

كشفت شركة الأمن السيبراني الكندية بلاك بيري، في تقرير نُشر في 11 يوليو 2024، أن شركة طيران في أمريكا اللاتينية لم تذكر اسمها قد تم استهدافها من قبل مجموعة تهديد باستخدام Akira Ransomware الشهر الماضي عن طريق تسليح CVE-2023-27532 للوصول الأولي.

وقال فريق بلاك بيري للأبحاث والاستخبارات: “تمكن ممثل التهديد في البداية من الوصول إلى الشبكة عبر بروتوكول Secure Shell (SSH) ونجح في استخراج البيانات المهمة قبل نشر سلالة من برنامج طلب الفدية Akira في اليوم التالي”. قال.

“تم إساءة استخدام عدد من الأدوات المشروعة بالتزامن مع برنامج Living off-the-Land-The Land Binaries and Scripts (LOLBAS). وقد مكّن هذا المهاجمين من إجراء الاستطلاع والاستمرار في بيئة الضحية المخترقة حديثًا. وبمجرد أن حقق المهاجم هدفه المتمثل في تسريب البيانات ، تم نشر برنامج الفدية لتشفير وتعطيل أنظمة الضحية.”

Akira Ransomware هو من عمل جهة تهديد ذات دوافع مالية وتتبعها شركة Microsoft تحت اسم Storm-1567، والذي يشار إليه أيضًا باسم Gold Sahara وPunk Spider. كانت المجموعة نشطة منذ مارس 2023 على الأقل.