Le logiciel de sauvegarde Veeam est exploité par un nouveau groupe de ransomware
Selon des rapports récents, une vulnérabilité de Veeam, qui est maintenant corrigée, est exploitée par un groupe d'acteurs de menaces émergentes nommé EstateRansomware. La faille de sécurité de Veeam est présente dans son logiciel de sauvegarde et de réplication et peut avoir de graves conséquences si elle est exploitée. Dans cet article, nous allons nous pencher sur la vulnérabilité et nous intéresser à la manière dont elle a été découverte, à la chaîne d'attaque, et plus encore. C'est parti !
Vulnérabilité de Veeam : Découverte initiale
La vulnérabilité de Veeam est actuellement suivie sous le nom de CVE-2023-27532 et a un score de gravité de vulnérabilité critique (CVSS) de 7,5. Les mouvements des acteurs de la menace concernant l'exploitation de la vulnérabilité de Veeam ont été découverts pour la première fois par le Group-IB, basé à Singapour, en avril 2024.
Les chercheurs en sécurité de l'organisation pensent que l'accès initial acquis par les acteurs de la menace a été facilité par l'appliance VPN SSL du pare-feu FortiGate de Fortinet et qu'un compte dormant a été utilisé. Yeo Zi Wei, un chercheur en sécurité, a déclaré ce qui suit :
"L'acteur de la menace a pivoté latéralement depuis le pare-feu FortiGate à travers le service VPN SSL pour accéder au serveur de basculement".
Les mouvements des acteurs de la menace qui ont été identifiés en avril 2024 étaient des tentatives de force brute VPN effectuées à l'aide d'un compte dormant identifié comme "Acc1" . Une connexion VPN réussie à l'aide de ce compte a également été retracée vers une adresse IP distante quelques jours plus tard.
Chaîne d'attaque des ransomwares successoraux
En ce qui concerne la chaîne d'attaque, les auteurs de la menace ont établi des connexions RDP entre le pare-feu et le serveur de basculement. Cette initiative a été suivie d'une porte dérobée persistante nommée "svchost.exe" qui a été exécutée quotidiennement. La porte dérobée a également facilité l'accès ultérieur et l'évasion de la détection.
Il convient de mentionner que les principales responsabilités de la porte dérobée consistaient à se connecter à un serveur de commande et de contrôle (C2) à l'aide du protocole HTTP. Après avoir établi une connexion, il était utilisé pour exécuter des commandes arbitraires selon les instructions de l'attaquant. En outre, l'acteur de la menace exploitant la vulnérabilité de Veeam visait à activer xp_cmdshell sur le serveur dorsal.
Cette opération a été réalisée pour créer un compte malveillant nommé "VeeamBkp" . Les autres objectifs de cette initiative comprenaient la découverte du réseau, l'énumération et la collecte d'informations d'identification. Les outils utilisés pour acquérir des informations d'identification sont NetScan, AdFind et NitSoft. Ces outils ont été accessibles et utilisés via le compte rouge.
Le ransomware a été déployé après que l'acteur de la menace a élargi la surface d'attaque en effectuant des mouvements latéraux à partir du serveur AD. Le Group-IB a commenté ces tactiques :
"Windows Defender a été désactivé de façon permanente à l'aide de DC.exe [Defender Control], puis le ransomware a été déployé et exécuté à l'aide de PsExec.exe.
Conclusion
Compte tenu de ces informations sur la vulnérabilité de Veeam, on peut affirmer que les activités de cybercriminalité sont de plus en plus ciblées. Les menaces utilisent diverses méthodes d'attaque pour se différencier et s'efforcent d'obtenir un accès avant une attaque afin d'explorer l'environnement. Dans ces conditions, les utilisateurs individuels et les organisations doivent adapter des protocoles de cybersécurité robustes pour réduire les risques et améliorer la posture de sécurité.
Les sources de cet article comprennent des articles parus dans The Hacker News et Security Week.