EstateRansomware という新たなランサムウェア:Veeam Backup & Replication の脆弱性を悪用

New Ransomware Group Exploiting Veeam Backup Software Vulnerability

2024/07/10 TheHackerNews — Veeam Backup & Replication ソフトウェアの、すでにパッチが適用されているセキュリティ欠陥が、EstateRansomware という新たなランサムウェアに悪用されている。この脅威を 2024年4月初旬に発見したのは、シンガポールに本社を置く Group-IB であり、その悪質な活動は CVE-2023-27532 (CVSS:7.5) を悪用して行われたと述べている。ターゲットの環境へのイニシャル・アクセスは、Fortinet FortiGate firewall SSL VPN アプライアンスの、休眠アカウントを使用して確立されていた。


セキュリティ研究者の Yeo Zi Wei は、「この脅威アクターは、FortiGate Firewall から SSL VPN サービスを通じて横方向へと移動し、failover server にアクセスした」と、7月10日に Group-IB が発表した分析で述べている。


Yeo Zi Wei は、「このランサムウェア攻撃が発生する以前の 2024年4月の時点で、”Acc1″ という休眠アカウントを用いた VPN ブルートフォース試行が確認されている。その数日後には、”Acc1″ を用いる VPN ログインに関して、リモート IP アドレス 149.28.106[.]252 まで突き止めることができた」と述べている。

続いて、この脅威アクターは、ファイアウォールからフェイルオーバー・サーバへの RDP 接続を確立し、スケジュールされたタスクにより毎日実行される、”svchost.exe” という永続的なバックドアを展開した。

その後のネットワークへのアクセスは、バックドアを使用して検出を回避しながら行われていた。このバックドアの主な役割は、HTTP 経由で C2 (command-and-control) サーバに接続し、攻撃者が発行した任意のコマンドを実行することだった。

Group-IB は、「この攻撃者は、Veeam の脆弱性 CVE-2023-27532 を悪用し、バックアップ・サーバ上で xp_cmdshell を有効化して、”VeeamBkp” という名前の不正なユーザー・アカウントを作成した。それと同時に、新たに作成したアカウントを介して、NetScan/AdFind/NitSoft などのツールを使用することで、ネットワーク・ディスカバリー/列挙/クレデンシャル・ハーベスティング活動を行ったことが確認されている」と述べている。

Zi Wei は、「バックアップ・サーバにインストールされた Veeam Backup & Replication ソフトウェアの脆弱なバージョンに対して、ファイル・サーバの VeeamHax フォルダから仕掛けられた攻撃である可能性が高い。この活動により、xp_cmdshell ストアード・プロシージャが起動され、”VeeamBkp” アカウントが作成された」と述べている。

Ransomware Group

この攻撃を仕掛けた脅威アクターは、ランサムウェアを展開した後に、侵害したドメイン・アカウントを使用して防御を突破し、Active Directory サーバから他のサーバやワークステーションへと横移動していた。

Group-IB は、「Windows Defender は DC.exe [Defender Control] を用いて永久に無効化され、その後に PsExec.exe を使ったランサムウェアの展開/実行が行われた」と述べている。

Cisco Talos が明らかにしているのは、大部分のランサムウェア・ギャングが、アプリケーションの脆弱性悪用/フィッシングの添付ファイル/有効なアカウントへの侵入などによりイニシャル・アクセスを確立し、検出を回避することを攻撃チェーンの確立を優先していることである。

ファイルを暗号化する前にデータを流出させるという二重の恐喝モデルは、攻撃者が管理するインフラへと機密情報を送信するための、カスタム・ツール (Exmatter/Exbyte/StealBit など) を生み出している。

これらの e-crime グループは、ネットワークの構造を理解し、攻撃をサポートするリソースを見つけ、自分たちの特権を高め、紛れ込むことを可能にしている。つまり、侵害した環境を探索して盗む価値のあるデータを特定するために、長期的なアクセスを確立する必要があるのだ。

Talos は、「この1年で、ランサムウェアの分野では、複数の新たなランサムウェア・グループが出現し、それぞれがユニークな目標や作戦構造を持つという、大きな変化を示している。このような多様化は、Hunters International/Cactus/Akira などのグループが、他のグループとの差別化を図るために、明確な作戦目標とスタイルの選択に焦点を当てるところに現れている。それが浮き彫りにするのは、特定のニッチを切り開くことでブティック・ターゲットへとシフトしていく、いまのサイバー犯罪活動の在り方である」と述べている。

Fortinet FortiGate アプライアンスから、Veeam Backup & Replication へ、そして Active Directory へと攻撃をチェーンさせていく EstateRansomware は、なかなか手強い脅威アクターですね。名前からするとランサムウェアですが、まるで APT のような TTP ですね。さまざまなタイプの脅威アクターたちが、侵害のための技術を共有していることの現れなのでしょうか。