Last Updated on 2024-07-11 04:51 by 門倉 朋宏
EstateRansomwareという新しいランサムウェアグループが、Veeam Backup & Replicationソフトウェアの脆弱性(CVE-2023-27532、CVSSスコア:7.5)を悪用していることが判明した。この脆弱性は既に修正されている。シンガポールに本社を置くGroup-IBが2024年4月初旬にこの脅威アクターを発見し、Fortinet FortiGateファイアウォールSSL VPNアプライアンスを使用して、休眠状態のアカウントを介して対象環境への初期アクセスが行われたと報告している。
セキュリティ研究者Yeo Zi Weiによると、攻撃者はSSL VPNサービスを介してFortiGateファイアウォールからフェイルオーバーサーバーへ横断移動し、ランサムウェア攻撃前に「Acc1」という休眠アカウントを使用したVPNブルートフォース攻撃が4月に確認された。その数日後、「Acc1」を使用した成功したVPNログインが遠隔IPアドレス149.28.106[.]252に遡ることができた。
その後、攻撃者はファイアウォールからフェイルオーバーサーバーへのRDP接続を確立し、「svchost.exe」という永続的なバックドアをデプロイし、スケジュールされたタスクを通じて毎日実行した。このバックドアを使用してネットワークへの後続のアクセスが達成され、検出を回避した。バックドアの主な役割は、HTTP経由でコマンドアンドコントロール(C2)サーバーに接続し、攻撃者が発行した任意のコマンドを実行することである。
Group-IBは、攻撃者がVeeamの脆弱性CVE-2023-27532を悪用し、バックアップサーバー上でxp_cmdshellを有効にし、「VeeamBkp」という悪質なユーザーアカウントを作成することを目的としていたと述べている。この活動は、ファイルサーバー上のVeeamHaxフォルダーから、バックアップサーバーにインストールされたVeeam Backup & Replicationソフトウェアの脆弱なバージョンに対する攻撃を伴い、xp_cmdshellストアドプロシージャの活性化と「VeeamBkp」アカウントの作成を容易にした。
攻撃は、防御を損ない、ADサーバーから他のすべてのサーバーとワークステーションへの横断移動を行い、侵害されたドメインアカウントを使用してランサムウェアを展開し実行する前に、Windows DefenderをDC.exe(Defender Control)を使用して永久に無効化することで終了した。Cisco Talosによると、ほとんどのランサムウェアグループは、公開されたアプリケーションのセキュリティ脆弱性、フィッシング添付ファイル、または有効なアカウントの侵害を使用して初期アクセスを確立し、攻撃チェーンで防御を回避することを優先している。
【ニュース解説】
最近、EstateRansomwareという新しいランサムウェアグループが、Veeam Backup & Replicationソフトウェアの脆弱性を悪用していることが発覚しました。この脆弱性(CVE-2023-27532、CVSSスコア:7.5)は既に修正されていますが、攻撃者はこの隙をついて、Fortinet FortiGateファイアウォールのSSL VPNアプライアンスを介して、休眠状態のアカウントを使って対象環境に侵入しました。
この攻撃は、まずファイアウォールからフェイルオーバーサーバーへの横断移動を行い、その後、永続的なバックドアをデプロイして毎日実行することで、ネットワーク内での検出を回避しました。このバックドアは、攻撃者が任意のコマンドを実行できるようにするため、コマンドアンドコントロール(C2)サーバーに接続する役割を果たしています。
さらに、攻撃者はVeeamの脆弱性を利用して、バックアップサーバー上で特定の操作を可能にし、不正なユーザーアカウントを作成しました。これにより、ネットワークの探索、列挙、および資格情報の収集が行われました。最終的に、攻撃者は防御を無効化し、ランサムウェアを展開して実行することで攻撃を完了しました。
この事件は、公開されたアプリケーションのセキュリティ脆弱性、フィッシング添付ファイル、または有効なアカウントの侵害を利用して初期アクセスを確立し、攻撃チェーンで防御を回避することを優先するランサムウェアグループの傾向を示しています。また、データを暗号化する前にデータを抽出する二重の恐喝モデルは、機密情報を敵対的なインフラに送信するために、アクターによって開発されたカスタムツールの出現を促しています。
このような攻撃は、企業や組織がセキュリティ対策を強化し、特にバックアップソリューションやファイアウォールなどの重要なインフラの脆弱性に対して迅速に対応することの重要性を浮き彫りにしています。また、攻撃者が長期間にわたってアクセスを維持し、環境を探索して価値のあるデータを特定し、盗み出すことを目指しているため、組織は定期的な監視と脆弱性の評価を行うことが不可欠です。
この事件から学ぶべき教訓は、セキュリティは常に進化する脅威に対応するために、継続的な努力と更新が必要であるということです。また、攻撃者が新しい手法やツールを開発し続ける中で、セキュリティコミュニティ全体が情報を共有し、協力して対応することの重要性も強調されています。
from New Ransomware Group Exploiting Veeam Backup Software Vulnerability.
