ClickCease Veeam-Schwachstelle wird von neuem Ransomware-Bedrohungsakteur ausgenutzt - TuxCare

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Veeam Backup-Software wird von neuer Ransomware-Gruppe ausgenutzt

Wajahat Raja

Juli 26, 2024 - TuxCare-Expertenteam

Jüngsten Berichten zufolge wird eine Veeam-Sicherheitslücke, die inzwischen gepatcht wurde, von einer neuen Bedrohungsgruppe namens EstateRansomware ausgenutzt. Die Veeam-Sicherheitslücke befindet sich in der Backup- und Replikationssoftware und kann zu schwerwiegenden Folgen führen, wenn sie ausgenutzt wird. In diesem Artikel werden wir die Schwachstelle näher beleuchten und uns darauf konzentrieren, wie sie entdeckt wurde, wie die Angriffskette aussieht und vieles mehr. Fangen wir an!

Veeam-Sicherheitslücke: Erste Entdeckung

Die Veeam-Schwachstelle wird derzeit unter der Bezeichnung CVE-2023-27532 geführt und hat einen CVSS-Wert (Critical Vulnerability Severity Score) von 7,5. Bewegungen von Bedrohungsakteuren, die die Veeam-Schwachstelle ausnutzen, wurden erstmals im April 2024 von der in Singapur ansässigen Group-IB entdeckt.

Sicherheitsforscher des Unternehmens gehen davon aus, dass der ursprüngliche Zugang der Bedrohungsakteure durch die Fortinet FortiGate Firewall SSL VPN Appliance ermöglicht wurde und dass ein ruhendes Konto verwendet wurde. Yeo Zi Wei, ein Sicherheitsforscher, hat weitere Einblicke gewährt und erklärt, dass:

"Der Bedrohungsakteur schwenkte seitlich von der FortiGate Firewall durch den SSL-VPN-Dienst, um auf den Failover-Server zuzugreifen."

Bei den Bewegungen der Bedrohungsakteure, die im April 2024 identifiziert wurden, handelte es sich um VPN-Brute-Force-Versuche, die über ein ruhendes Konto mit der Bezeichnung "Acc1" durchgeführt wurden . Die erfolgreiche VPN-Anmeldung über das Konto wurde Tage später auch zu einer entfernten IP-Adresse zurückverfolgt.

Ransomware-Angriffskette

Was die Angriffskette anbelangt, so bauten die Bedrohungsakteure RDP-Verbindungen von der Firewall zum Failover-Server auf. Auf diese Initiative folgte eine dauerhafte Backdoor namens "svchost.exe" , die täglich ausgeführt wurde. Die Backdoor erleichterte auch den späteren Zugriff und die Umgehung der Erkennung.

Es ist erwähnenswert, dass die Hauptaufgaben der Backdoor darin bestanden, über HTTP eine Verbindung zu einem Command-and-Control-Server (C2) herzustellen. Nach dem Verbindungsaufbau wurde die Backdoor verwendet, um beliebige Befehle nach den Vorgaben des Angreifers auszuführen. Darüber hinaus nutzte der Angreifer die Veeam-Schwachstelle aus, um xp_cmdshell auf dem Backserver zu aktivieren.

Auf diese Weise wurde ein bösartiges Konto mit dem Namen "VeeamBkp" erstellt . Zu den weiteren Zielen dieser Initiative gehörten die Erkennung von Netzwerken, die Aufzählung und das Sammeln von Anmeldeinformationen. Zu den Tools, die zur Beschaffung von Anmeldeinformationen verwendet wurden, gehören NetScan, AdFind und NitSoft. Der Zugriff auf diese Tools und ihre Verwendung erfolgten über das "Rouge"-Konto.

Die Ransomware wurde eingesetzt, nachdem der Bedrohungsakteur die Angriffsfläche durch seitliche Bewegungen vom AD-Server aus erweitert hatte. Group-IB kommentierte diese Taktik wie folgt:

"Der Windows Defender wurde mithilfe von DC.exe [Defender Control] dauerhaft deaktiviert, gefolgt von der Bereitstellung und Ausführung der Ransomware mit PsExec.exe".

Schlussfolgerung

In Anbetracht dieser Erkenntnisse über die Veeam-Schwachstelle lässt sich feststellen, dass die Cyberkriminalität immer gezielter vorgeht. Bedrohungen nutzen verschiedene Angriffsmethoden, um sich zu differenzieren, und sind sehr daran interessiert, sich vor einem Angriff Zugang zu verschaffen, um die Umgebung zu erkunden. In Anbetracht dieser Umstände müssen Einzelanwender und Unternehmen robuste Cybersicherheitsprotokolle anpassen, um das Risiko zu senken und die Sicherheitslage zu verbessern.

Zu den Quellen für diesen Artikel gehören Artikel in The Hacker News und Security Week.

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter