Les serveurs de sauvegarde Veeam sont ciblés par au moins un groupe d’acteurs malveillants connus pour travailler avec plusieurs gangs de ransomwares de haut niveau.
Des activités malveillantes et des outils faisant écho aux attaques FIN7 ont été observés dans les intrusions depuis le 28 mars, moins d’une semaine après la mise à disposition d’un exploit pour une vulnérabilité de haute gravité dans le logiciel Veeam Backup and Replication (VBR).
Suivi en tant que CVE-2023-27532, le problème de sécurité expose les informations d’identification chiffrées stockées dans la configuration VBR aux utilisateurs non authentifiés dans l’infrastructure de sauvegarde. Cela pourrait être utilisé pour accéder aux hôtes de l’infrastructure de sauvegarde.
Le fournisseur de logiciels a résolu le problème le 7 mars et a fourni des instructions de contournement.
Le 23 mars, la société de test d’intrusion Horizon3 a publié un exploit pour CVE-2023-27532, qui a également démontré comment un point de terminaison d’API non sécurisé pouvait être abusé pour extraire les informations d’identification en texte brut. Un attaquant exploitant la vulnérabilité pourrait également exécuter du code à distance avec les privilèges les plus élevés.
À l’époque, Huntress Labs avait averti qu’il y avait encore environ 7 500 hôtes VBR exposés à Internet qui semblaient vulnérables.
Connexions FIN7
Les chercheurs en menaces de la société finlandaise de cybersécurité et de confidentialité WithSecure notent dans un rapport cette semaine que les attaques qu’ils ont observées fin mars visaient des serveurs exécutant le logiciel Veeam Backup and Replication qui étaient accessibles sur le Web public.
Les tactiques, techniques et procédures étaient similaires à l’activité précédemment attribuée à FIN7.
Sur la base du calendrier de la campagne, du port TCP ouvert 9401 sur des serveurs compromis et des hôtes exécutant une version vulnérable de VBR, les chercheurs pensent que l’intrus a probablement exploité la vulnérabilité CVE-2023-27532 pour l’accès et l’exécution de code malveillant.
Lors d’un exercice de chasse aux menaces à l’aide des données de télémétrie de l’EDR (Endpoint Detection and Response) de WithSecure, les chercheurs ont remarqué que certains serveurs Veeam généraient des alertes suspectes (par exemple, sqlservr.exe engendrant cmd.exe et téléchargeant des scripts PowerShell).
Un examen plus approfondi a montré que l’acteur de la menace avait initialement exécuté le script PowerTrash PowerShell, vu lors d’attaques passées attribuées à FIN7, qui comprenait une charge utile – la porte dérobée DiceLoader/Lizar, à exécuter sur la machine compromise.
DiceLoader, également suivi sous le nom de Tirion, a également été lié à une activité malveillante FIN7 dans le passé. Il convient de noter que des incidents plus récents attribués à ce gang ont utilisé une autre porte dérobée que les chercheurs de Mandiant appellent PowerPlant.
WithSecure souligne que les noms des scripts PowerShell (icsnd16_64refl.ps1, icbt11801_64refl.ps1) vus dans les attaques suivaient la convention de dénomination précédemment signalée pour les fichiers FIN7.
Neeraj Singh, chercheur principal chez WithSecure, a déclaré à Breachtrace que DiceLoader et PowerTrash n’étaient pas les seuls liens avec l’activité FIN7.
Un script PowerShell (host_ip.ps1) pour résoudre les adresses IP en noms d’hôte et un script personnalisé utilisé pour la reconnaissance dans la phase de mouvement latéral de l’attaque sont également connus pour faire partie de la boîte à outils de FIN7.
Singh a déclaré avoir également observé d’autres chevauchements techniques avec les rapports précédents sur l’activité attribuée à FIN7. Quelques exemples sont des modèles d’exécution de ligne de commande ainsi que des conventions de nommage de fichiers.
Une fois qu’ils ont eu accès à l’hôte, les pirates ont utilisé leurs logiciels malveillants, diverses commandes et des scripts personnalisés pour collecter des informations système et réseau, ainsi que des informations d’identification à partir de la base de données de sauvegarde Veeam.
La persistance de DiceLoader a été obtenue grâce à un script PowerShell personnalisé appelé PowerHold, selon les chercheurs de WithSecure, ajoutant que l’acteur de la menace a également tenté un mouvement latéral en utilisant des informations d’identification volées, testant leur accès avec des invocations WMI et des commandes de «partage net».
WithSecure rapporte que l’attaquant a réussi son effort de mouvement latéral. À l’aide des informations d’identification volées, les pirates se sont appuyés sur le protocole de communication SMB pour déposer des scripts PowerShell sur les partages administratifs de la cible.
L’objectif ultime des acteurs de la menace dans cette campagne reste flou, car les attaques ont été interrompues avant de planter ou d’exécuter la charge utile finale.
Cependant, les chercheurs affirment que les intrusions peuvent s’être terminées par le déploiement d’un rançongiciel si la chaîne d’attaque s’est terminée avec succès. Le vol de données aurait pu être une autre conséquence potentielle.
WithSecure recommande aux organisations qui utilisent le logiciel Veeam Backup and Replication de tenir compte des informations qu’ils ont fournies et de les utiliser pour rechercher des signes de compromission sur leur réseau.
Même si la méthode exacte pour invoquer les commandes initiales du shell reste inconnue et que les preuves d’exploitation de CVE-2023-27532 n’étaient pas claires, les entreprises devraient donner la priorité à la correction de la vulnérabilité, car d’autres acteurs de la menace pourraient essayer de l’exploiter.
FIN7 est connu pour son partenariat avec diverses opérations de ransomware, y compris celles gérées par le tristement célèbre syndicat Conti, REvil, Maze, Egregor et BlackBasta.
Récemment, des chercheurs d’IBM ont publié un rapport sur l’association de FIN7 avec d’anciens membres de Conti pour distribuer une nouvelle souche de malware appelée Domino qui donne accès à l’hôte compromis et permet également de planter une balise Cobalt Strike pour une persistance accrue.
La connexion entre Domino et FIN7 était basée sur un chevauchement de code massif avec DiceLoader, notent les chercheurs d’IBM dans leur rapport.