FIN7 Hackers Caught Exploiting Recent Veeam Vulnerability
2023/04/26 SecurityWeek — ロシアのサイバー犯罪グループ FIN7 だが、パッチ未適用の Veeam Backup & Replication インスタンスを、最近の攻撃で悪用していることが確認されたと、サイバーセキュリティ企業 WithSecure が報告している。2015年頃から存在し、Anunak/Carbanak とも呼ばれる FIN7 は、主にクレジット・カード情報の窃盗にフォーカスする金銭的動機のあるグループだ。セキュリティ研究者たちは、多数のサブグループが、FIN7 傘下で活動していると考えている。これまでの数年間において、FIN7 の活動と重なる脅威アクターたちの中には、REVIL/DarkSide/BlackMatter/Alphv/Black Basta といったランサムウェアへ移行していった者も見られるという。
2023年3月末に WithSecure は、Veeam Backup & Replication ソフトウェアをホストするインターネットに露出しているサーバを悪用して、侵害した環境でペイロードを実行する FIN7 攻撃を捉えた。
同社は、Veeam Backup プロセスがシェルコマンドを実行して、PowerShell スクリプトをダウンロード/実行するのを観察し、また、そのスクリプトは、FIN7 が使用する Powertrash インメモリ・ドロッパーであることが判明した。
このドロッパーは、Lizar としても知られるバックドアであり、攻撃者による各種のポスト・エクスプロイト操作を可能にし、以前から FIN7 との関連が指摘されていた Diceloader のドロップにも使用されているものだ。
WithSecure は、「この脅威アクターが、最初のシェルコマンドを呼び出すために使用した正確な手順は不明だが、Veeam Backup & Replication インスタンスに認証されていなくてもアクセスが可能なる、先日にパッチされたあかりの Veeam Backup & Replication の脆弱性 CVE-2023-27532 を介して達成された可能性が高い」と述べている。
この脆弱性 CVE-2023-27532 (CVSS:7.5) は、2023年3月上旬に公開されたものであり、すでにパッチが適用されている。それから約2週間後には、この脆弱性をターゲットにした PoC エクスプロイト・コードも公開されている。
Veeam によると、この脆弱性の悪用に成功した攻撃者は、コンフィグレーション・データベースに保存されている暗号化された認証情報を取得することができるという。しかし、PoC を公開したペン入テスト企業の Horizon3.ai は、この欠陥により、攻撃者は平文の認証情報を取得できると述べている。
このペイロードが投下される数日前のことだが、Veeam Backup & Replication インスタンスを標的とする、FIN7 攻撃の一部としての不審な活動を、WithSecure は確認している。そして、脆弱なサーバを調査/特定している可能性が高いと指摘している。
この脅威アクターの行動として挙げられるのは、ネットワーク偵察/Veeam Backup & Replication データベースからの情報窃取/認証情報の流出/Diceloader バックドアの永続性の達成/摂取した認証情報を悪用した横方向への移動などである。
WithSecure は、「これまでに FIN7 が仕掛けた、2つのインスタンスに対する攻撃を確認している。1つ目のアクティビティは、同じ日に同じパブリック IP アドレスから開始されたことで、大規模なキャンペーンの一部であった可能性がある。しかし、TCP ポート 9401 が公開されている Veeam バックアップ・サーバが稀であることから、この攻撃の範囲は限定的であるとも考えられる」と述べている。
問題の脆弱性 CVE-2023-27532 は、Veeam Backup & Replication バージョン 12 (build 12.0.0.1420 P20230223) と、11a (build 11.0.1.1261 P20230227) のリリースで対処されている。
Veeam 製品の脆弱性は、以前の攻撃でも悪用されているため、可能な限り早急に Backup & Replicationインスタンスを更新することが、ユーザー組織に対して推奨される。
FIN7 というと、技術力があって、大物狙いで、シッカリと成功させるという、サイバー・ギャングだというイメージがあります。これまでの記事そして、2022/12/22 の「FIN7 ハッキング・グループの正体:Exchange を SQL インジェクションで自動攻撃」と、2022/04/05 の「FIN7 ギャングの戦略:運輸/保険/防衛をターゲットにサプライチェーン攻撃?」があります。その FIN7 が、Veeam の脆弱性を狙っていますので、要注意です。よろしければ、以下の記事も、ご参照ください。
2023/03/23:Veeam の脆弱性 CVE-2023-27532:PoC エクスプロイト
2023/03/08 :Veeam:CVE-2023-27532:認証情報の不正取得につながる
IoT OT Security News 
You must be logged in to post a comment.