Veeam Backup & Replicationを狙うランサムウェア攻撃が発生

Veeam Backup & Replicationを狙うランサムウェア攻撃が発生

2024年5月22日 に発生し、解消されたVeeam の脆弱性(CVE-2024-29849)を悪用し、Veeam Backup & Replicationを狙うランサムウェア攻撃が発生しました。

Veeamの脆弱性について(CVE-2024-29849)

2024年5月22日 Veeamsソフトウェアは、未認証の攻撃者が任意のアカウントにサインインできる重大な脆弱性がVeeam Backup Enterprise Manager(VBEM)に発生している事をユーザーへ警告しました。この脆弱性(CVE-2024-29849)は、CVSS基本スコア9.8/10で評価されており、重大な脆弱性となります。

本脆弱はアップデートする事によって対処可能です。

Veeam Backup & Replicationを狙うランサムウェア攻撃について

Group-IBはVeeam Backup & Replicationを狙うランサムウェア攻撃について以下を解説しました。

初期の侵入

侵入の最初の兆候は、脅威アクターが FortiGate ファイアウォールから SSL VPN サービスを経由してフェイルオーバー サーバーにアクセスした 2024 年 4 月に発生しました。

ランサムウェア攻撃の前に、2024 年 4 月に「Acc1」として識別される休止アカウントを使用した VPN ブルート フォース攻撃の試みが確認されました。

数日後、「Acc1」を使用した VPN ログインが成功し、リモート IP アドレス 149.28.106[.]252 にまでさかのぼりました。

目に見えないところに隠されたバックドア

次に、脅威の攻撃者はファイアウォールからフェールオーバー サーバーへの RDP 接続を確立し、スケジュールされたタスクを通じて毎日実行される「svchost.exe」という名前の永続的なバックドアを展開しました。

その後のネットワークへのアクセスは、検出を回避するためにバックドアを使用して行われました。バックドアの主な役割は、HTTP 経由でコマンド アンド コントロール (C2) サーバーに接続し、攻撃者が発行した任意のコマンドを実行することです。

不正ユーザーを作成し情報収集

Group-IBは、攻撃者がVeeamの脆弱性CVE-2023-27532を悪用し、バックアップサーバー上でxp_cmdshellを有効にして「VeeamBkp」という不正なユーザーアカウントを作成し、さらにネットワーク探索、列挙、資格情報収集活動をNetScan、AdFind、NitSoftなどのツールを使用して新しく作成されたアカウント経由で行っているのを観察しました。

「この脆弱性の悪用は、バックアップサーバーにインストールされた脆弱なバージョンのVeeam Backup & Replicationソフトウェアに対して、ファイルサーバー上のVeeamHaxフォルダーから始まる攻撃を伴っていた可能性があります」と研究者は推測しています。

ランサムウェアを展開

攻撃は最終的にランサムウェアの展開に至りましたが、その前に防御を妨害し、ADサーバーから他のすべてのサーバーやワークステーションへ侵害されたドメインアカウントを使用して横移動する手順が取られました。

「Windows DefenderはDC.exe [Defender Control]を使用して永久に無効化され、その後ランサムウェアがPsExec.exeで展開および実行されました」とGroup-IBは述べました。

Veeam の脆弱性が Akira ランサムウェア攻撃にも悪用される#

カナダのサイバーセキュリティ企業ブラックベリーは、2024年7月11日に発表したレポートで、名前が明らかにされていないラテンアメリカの航空会社が先月、CVE-2023-27532を武器化して初期アクセスを行い、Akiraランサムウェアを使用する脅威グループの標的になったことを明らかにしています。

「脅威の攻撃者は当初、セキュアシェル(SSH)プロトコル経由でネットワークにアクセスし、翌日Akiraランサムウェアの一種を展開する前に重要なデータを盗み出すことに成功した」とブラックベリーの調査・情報チームは述べました

「多くの合法的なツールが、Living off-the-Land Binaries and Scripts (LOLBAS) と組み合わせて悪用されました。これにより、攻撃者は偵察を行い、新たに侵害された被害者の環境に留まることができました。攻撃者がデータを持ち出すという目的を達成すると、ランサムウェアが展開され、被害者のシステムを暗号化して無力化しました。」

Akira ランサムウェアは、Microsoft がStorm-1567という名前で追跡している金銭目的の脅威アクターによるもので、Gold Sahara や Punk Spider とも呼ばれています。このグループは少なくとも 2023 年 3 月から活動しています。

引用:New Ransomware Group Exploiting Veeam Backup Software Vulnerability

TOPへ