Veeamの脆弱性(CVE-2024-40711)をランサムウェア AkiraとFogが悪用

Veeamの脆弱性(CVE-2024-40711)をランサムウェア AkiraとFogが悪用

Veeamの脆弱性(CVE-2024-40711)をランサムウェア AkiraとFogが悪用しているとSophos X-Opsが発表しています。

Sophos X-Ops の警告

Sophos X-OpsはMastodonのセキュリティサーバーで以下の警告をしています。

 MDR およびインシデント対応チームは、過去1か月間に発生した一連の攻撃を追跡しています。これらの攻撃では、侵害された認証情報と Veeam の既知の脆弱性(CVE-2024-40711)を悪用し、アカウントを作成してランサムウェアの展開を試みていました。

あるケースでは、攻撃者が Fog ランサムウェアをドロップしました。同じ時期に発生した別の攻撃では、Akira ランサムウェアを展開しようとしました。これら4件のケースのインジケーターは、以前の Akira および Fog ランサムウェア攻撃と共通しています。

いずれのケースにおいても、攻撃者は最初に多要素認証が有効化されていない、侵害された VPN ゲートウェイを使用してターゲットにアクセスしました。これらの VPN の一部はサポートが終了したソフトウェアバージョンを実行していました

毎回、攻撃者はポート8000の URI「/trigger」で Veeam の脆弱性を悪用し、Veeam.Backup.MountService.exe を起動して net.exe を生成させました。このエクスプロイトは「point」というローカルアカウントを作成し、そのアカウントをローカル管理者およびリモートデスクトップユーザーグループに追加します。

Fog ランサムウェアが使用されたインシデントでは、攻撃者は保護されていない Hyper-V サーバーにランサムウェアを展開し、その後、rclone ユーティリティを使用してデータを外部に持ち出しました。

その他のケースでは、Sophos のエンドポイント保護および MDR がランサムウェアの展開を防止しました。

脆弱性 CVE-2024-40711 の概要

悪意のあるペイロードによる信頼できないデータの逆シリアル化の脆弱性により、認証されていないリモート コード実行 (RCE) が発生する可能性があります。

この脆弱性は2024年9月時点でパッチがリリースされ、その後研究者によってPOCも公開されています

参照

Akira and Fog ransomware now exploit critical Veeam RCE flaw

TOPへ