Бесплатно Экспресс-аудит сайта:

11.07.2024

EstateRansomware: путешествие хакера от FortiGate до сердца вашей сети

Исправленная уязвимость в Veeam Backup & Replication используется новой программой-вымогателем EstateRansomware. Компания Group-IB , которая обнаружила злоумышленника в начале апреля 2024 года, заявила, что атака включала эксплуатацию уязвимости CVE-2023-27532 для осуществления вредоносной деятельности.

CVE-2023-27532 (оценка CVSS: 7.5) позволяет получить зашифрованные учетные данные, хранящиеся в базе данных конфигурации, что может привести к получению доступа к хостам инфраструктуры резервного копирования.

Ошибка была исправлена ​​в начале марта 2023 года, а затем для недостатка был опубликован PoC-эксплоит. Уязвимость затрагивает все версии софта и может быть использована неавторизованными злоумышленниками для кражи учетных данных и удаленного выполнения кода от имени SYSTEM.

Цепочка атаки

Сообщается, что первоначальный доступ к целевой среде был осуществлен с помощью устройства SSL VPN брандмауэра Fortinet FortiGate с использованием неактивной учетной записи «Acc1». Злоумышленник перешел от межсетевого экрана FortiGate к сервису SSL VPN, чтобы получить доступ к отказоустойчивому серверу.

Затем хакер приступил к установке RDP-подключений от брандмауэра к отказоустойчивому серверу, после чего развернул постоянный бэкдор под названием «svchost.exe», который ежедневно выполняется в рамках запланированной задачи.

Последующий доступ к сети был осуществлен с помощью бэкдора для избежания обнаружения. Основная задача бэкдора — подключиться к C2-серверу по HTTP и выполнить произвольные команды.

Group-IB обнаружила, как злоумышленник эксплуатирует уязвимость Veeam с целью включить xp_cmdshell на сервере резервного копирования и создать мошенническую учетную запись пользователя с именем «VeeamBkp», а также выполняет действия по обнаружению сети, перечислению и сбору учетных данных с использованием инструментов NetScan, AdFind и NitSoft.

Эксплуатация потенциально включала атаку, исходящую из папки VeeamHax на файловом сервере, против уязвимой версии Veeam Backup & Replication, установленной на сервере резервного копирования. Такая деятельность способствовала активации хранимой процедуры «xp_cmdshell» и последующему созданию учетной записи «VeeamBkp».

Отметим, что Защитник Windows был окончательно отключен с помощью DC.exe (Defender Control), после чего была осуществлена ​​загрузка и выполнение программы-вымогателя с помощью PsExec.exe. Также перед этим были предприняты шаги по ослаблению защиты и боковому перемещению с сервера AD на все другие серверы и рабочие станции с использованием скомпрометированных учетных записей домена.