Veeam Backup & Replication yazılımındaki artık düzeltilmiş bir güvenlik açığı, EstateRansomware olarak bilinen yeni bir fidye yazılımı operasyonu tarafından istismar ediliyor.
Tehdit aktörünü 2024 yılının nisan ayı başlarında keşfeden Singapur merkezli Group-IB, kötü amaçlı faaliyetleri yürütmek için CVE-2023-27532 (CVSS puanı: 7,5) güvenlik açığının istismar edildiğini söyledi.
Hedef ortama ilk erişimin, hareketsiz bir hesap kullanan bir Fortinet FortiGate güvenlik duvarı SSL VPN cihazı aracılığıyla kolaylaştırıldığı söylenmektedir.
“Tehdit aktörü, yedek sunucuya erişmek için SSL VPN hizmeti aracılığıyla FortiGate Güvenlik Duvarından yanlara doğru yöneldi,” güvenlik araştırmacısı Yeo Zi Wei söz konusu Bugün yayınlanan bir analizde.
“Fidye yazılımı saldırısından önce, Nisan 2024’te ‘Acc1’ olarak tanımlanan hareketsiz bir hesap kullanılarak VPN kaba kuvvet girişimleri kaydedildi. Birkaç gün sonra, ‘Acc1’ kullanılarak yapılan başarılı bir VPN girişinin uzak IP adresi 149.28.106’ya kadar izlendiği görüldü.[.]252.”
Daha sonra tehdit aktörleri güvenlik duvarından yedekleme sunucusuna RDP bağlantıları kurdular ve ardından zamanlanmış bir görev aracılığıyla günlük olarak yürütülen “svchost.exe” adlı kalıcı bir arka kapı dağıttılar.
Ağa daha sonra erişim, tespit edilmekten kaçınmak için arka kapı kullanılarak gerçekleştirildi. Arka kapının birincil sorumluluğu, HTTP üzerinden bir komut ve kontrol (C2) sunucusuna bağlanmak ve saldırgan tarafından verilen keyfi komutları yürütmektir.
Group-IB, aktörün yedekleme sunucusunda xp_cmdshell’i etkinleştirmek ve “VeeamBkp” adında sahte bir kullanıcı hesabı oluşturmak amacıyla CVE-2023-27532 numaralı Veeam açığını kullandığını, ayrıca yeni oluşturulan hesap üzerinden NetScan, AdFind ve NitSoft gibi araçları kullanarak ağ keşfi, numaralandırma ve kimlik bilgisi toplama faaliyetleri yürüttüğünü gözlemlediğini söyledi.
Zi Wei, “Bu istismarın, yedekleme sunucusuna yüklenen Veeam Backup & Replication yazılımının güvenlik açığı bulunan sürümüne karşı dosya sunucusundaki VeeamHax klasöründen kaynaklanan bir saldırıyı içerdiğini” öne sürdü.
“Bu etkinlik xp_cmdshell saklı prosedürünün etkinleştirilmesini ve ardından ‘VeeamBkp’ hesabının oluşturulmasını kolaylaştırdı.”
Saldırı, fidye yazılımının dağıtılmasıyla sonuçlandı; ancak öncesinde savunmaları zayıflatacak adımlar atıldı ve AD sunucusundan tehlikeye atılmış etki alanı hesaplarını kullanan diğer tüm sunuculara ve iş istasyonlarına yatay olarak geçildi.
“Windows Defender, DC.exe kullanılarak kalıcı olarak devre dışı bırakıldı [Defender Control]ardından fidye yazılımı dağıtımı ve yürütülmesi PsExec.exe“Grup-IB” dedi.
Cisco Talos, fidye yazılımı çetelerinin çoğunun, halka açık uygulamalardaki güvenlik açıklarını kullanarak, kimlik avı eklerini kullanarak veya geçerli hesapları ihlal ederek ve saldırı zincirlerindeki savunmaları aşarak ilk erişimi sağlamayı önceliklendirdiğini ortaya koydu.
Dosyaları şifrelemeden önce verileri sızdırma şeklindeki çift gasp modeli, aktörler (örneğin Exmatter, Exbyte ve StealBit) tarafından gizli bilgileri saldırganın kontrolündeki bir altyapıya göndermek için geliştirilen özel araçların ortaya çıkmasına neden oldu.
Bu durum, söz konusu e-suç gruplarının, ağın yapısını anlamak, saldırıyı destekleyebilecek kaynakları bulmak, ayrıcalıklarını yükseltmek veya kendilerinin ortama uyum sağlamalarına olanak tanımak ve çalınabilecek değerli verileri belirlemek amacıyla ortamı keşfetmek için uzun vadeli erişim sağlamalarını gerektirir.
Talos, “Geçtiğimiz yıl, her biri kendine özgü hedefler, operasyonel yapılar ve kurbanlık yapısı sergileyen çok sayıda yeni fidye yazılımı grubunun ortaya çıkmasıyla fidye yazılımı alanında büyük değişimlere tanık olduk” dedi. söz konusu.
“Çeşitlilik, Hunters International, Cactus ve Akira gibi grupların belirli nişler oluşturarak, kendilerini farklılaştırmak için belirgin operasyonel hedeflere ve stilistik tercihlere odaklanmasıyla, daha butik hedefli siber suç faaliyetlerine doğru bir kaymayı vurguluyor.”