最近,Veeam Backup & Replication (VBR)中一个被追踪为CVE-2024-40711的关键漏洞也被利用来部署Frag勒索软件。
10月中旬,Sophos研究人员警告说,勒索软件运营商正在利用Veeam Backup & Replication中的关键漏洞CVE-2024-40711创建流氓账户并部署恶意软件。
2024 年 9 月初,Veeam 发布了安全更新,以解决影响其产品的多个漏洞,该公司修复了 Veeam Backup & Replication、Service Provider Console 和 One 中的 18 个高严重性和关键严重性漏洞。
2024年9月安全公告中最严重的漏洞是一个重要的远程代码执行(RCE)漏洞,该漏洞被追踪为CVE-2024-40711(CVSS v3.1得分:9.8),影响了Veeam Backup & Replication (VBR)。
Veeam Backup & Replication 是 Veeam 开发的一款全面的数据保护和灾难恢复软件。它使企业能够跨物理、虚拟和云环境备份、恢复和复制数据。
“漏洞允许未经验证的远程代码执行(RCE)。”
CODE WHITE Gmbh 公司的网络安全研究员 Florian Hauser 报告了这一漏洞。
该漏洞影响 Veeam Backup & Replication 12.1.2.172 和所有早期版本 12 的构建。
Sophos X-Ops研究人员观察到最近的攻击利用了被泄露的凭证和Veeam漏洞CVE-2024-40711来部署勒索软件,包括Fog和Akira。攻击者通过缺乏多因素身份验证的VPN网关访问目标,其中一些网关运行过时的软件。重叠指标将这些案例与之前的 Fog 和 Akira 勒索软件攻击联系起来。
“Sophos X-Ops MDR 和 Incident Response 正在追踪上个月发生的一系列攻击事件,这些攻击利用被泄露的凭证和 Veeam 中的一个已知漏洞(CVE-2024-40711)创建账户并试图部署勒索软件。
“在一个案例中,攻击者投放了Fog勒索软件。同一时间段的另一起攻击则试图部署 Akira 勒索软件。所有 4 个案例中的迹象都与早期的 Akira 和 Fog 勒索软件攻击重叠。在每个案例中,攻击者最初都是使用未启用多因素身份验证的受损 VPN 网关访问目标。其中一些 VPN 运行的是不支持的软件版本。”
威胁者利用端口 8000 上的 Veeam URI /trigger 启动 net.exe,并创建一个名为 “point ”的本地账户,将其添加到本地管理员和远程桌面用户组中。在一个案例中,攻击者在未受保护的 Hyper-V 服务器上部署了 Fog 勒索软件,并使用 rclone 进行数据外渗。
现在,在 Akira 和 Fog 勒索软件攻击之后,专家警告说,威胁者正试图利用 CVE-2024-40711 积极部署 Frag 勒索软件。
Sophos 最近发现,一个被追踪为 STAC 5881 的威胁者利用 CVE-2024-40711 在被入侵网络上部署 Frag 勒索软件。
“CVE-2024-40711漏洞被用作我们命名为STAC 5881的威胁活动集群的一部分。攻击利用被入侵的 VPN 设备进行访问,并利用 VEEAM 漏洞创建名为 “point ”的新本地管理员账户。该群组中的一些案例导致了 Akira 或 Fog 勒索软件的部署。Akira 于 2023 年首次出现,自 10 月中旬以来似乎已不再活跃,其信息泄漏网站现已下线”,Sophos 发布的一份报告中写道。“在最近的一个案例中,MDR 分析师再次观察到了与 STAC 5881 相关的策略,但这次观察到的是部署了一种以前未记录的名为 “Frag ”的勒索软件。”
在最近的一次攻击中,威胁组织 STAC 5881 通过被入侵的 VPN 设备访问网络,利用 VEEAM 漏洞,然后创建了名为 “point ”和 “point2 ”的账户。使用加密设置执行的 Frag 勒索软件在文件中添加了 *.frag 扩展名,但最终被 Sophos 的 CryptoGuard 阻止。
网络安全公司 Agger Labs 的研究人员还详细介绍了 Frag 背后的行为者与 Akira 和 Fog 威胁行为者在战术、技术和做法上的相似之处。
“Frag 勒索软件隐身的一个关键原因是它依赖于 LOLBins,这是一种被更多传统威胁行为者广泛采用的策略。通过使用大多数网络中已经存在的熟悉的合法软件,攻击者可以在绕过端点检测系统的同时进行恶意操作。“Agger Labs 表示,”虽然这在威胁行为者领域肯定不是什么新鲜事,但它确实表明了勒索软件制作者正在如何调整他们的方法。“使用 LOLBins 并不是 Frag 独有的做法;Akira 和 Fog 等勒索软件也采用了类似的策略,重点是混入正常的网络活动并隐藏在众目睽睽之下。通过使用 LOLBins,这些运营商利用可信软件达到恶意目的,增加了及时发现的难度。”