Server cadangan Veeam menjadi sasaran setidaknya satu kelompok aktor ancaman yang diketahui bekerja dengan beberapa geng ransomware terkenal.
Aktivitas berbahaya dan alat yang menggemakan serangan FIN7 telah diamati dalam intrusi sejak 28 Maret, kurang dari seminggu setelah eksploit tersedia untuk kerentanan dengan tingkat keparahan tinggi di perangkat lunak Veeam Backup and Replication (VBR).
Dilacak sebagai CVE-2023-27532, masalah keamanan memaparkan kredensial terenkripsi yang disimpan dalam konfigurasi VBR ke pengguna yang tidak diautentikasi dalam infrastruktur pencadangan. Ini dapat digunakan untuk mengakses host infrastruktur cadangan.
Vendor perangkat lunak memperbaiki masalah ini pada tanggal 7 Maret dan memberikan petunjuk pemecahan masalah.
Pada tanggal 23 Maret, perusahaan pentesting Horizon3 merilis eksploit untuk CVE-2023-27532, yang juga menunjukkan bagaimana titik akhir API yang tidak aman dapat disalahgunakan untuk mengekstrak kredensial dalam teks biasa. Penyerang yang memanfaatkan kerentanan juga dapat menjalankan kode dari jarak jauh dengan hak istimewa tertinggi.
Pada saat itu, Huntress Labs memperingatkan bahwa masih ada sekitar 7.500 host VBR yang terpapar internet yang tampaknya rentan.
koneksi FIN7
Peneliti ancaman di perusahaan keamanan siber dan privasi Finlandia WithSecure mencatat dalam a laporan minggu ini bahwa serangan yang mereka amati pada akhir Maret menargetkan server yang menjalankan perangkat lunak Pencadangan dan Replikasi Veeam yang dapat diakses melalui web publik.
Taktik, teknik, dan prosedur serupa dengan aktivitas yang sebelumnya dikaitkan dengan FIN7.
Berdasarkan waktu kampanye, buka port TCP 9401 pada server yang dikompromikan, dan host yang menjalankan versi VBR yang rentan, para peneliti percaya bahwa penyusup kemungkinan mengeksploitasi kerentanan CVE-2023-27532 untuk akses dan eksekusi kode berbahaya.
Saat melakukan latihan perburuan ancaman menggunakan data telemetri dari Endpoint Detection and Response (EDR) WithSecure, para peneliti memperhatikan beberapa server Veeam yang menghasilkan peringatan yang mencurigakan (mis. sqlserver.exe hal ikan bertelur cmd.exe dan mengunduh skrip PowerShell).
sumber: WithSecure
Melihat lebih dekat menunjukkan bahwa aktor ancaman awalnya mengeksekusi skrip PowerTrash PowerShell, terlihat di serangan masa lalu dikaitkan dengan FIN7yang mencakup muatan – pintu belakang DiceLoader/Lizar, untuk dijalankan pada mesin yang disusupi.
DiceLoader, juga dilacak sebagai Tirion, juga pernah dikaitkan dengan aktivitas berbahaya FIN7 di masa lalu. Perlu dicatat bahwa insiden yang lebih baru yang dikaitkan dengan geng ini memanfaatkan pintu belakang berbeda yang oleh peneliti Mandiant disebut PowerPlant.
sumber: Dengan Aman
WithSecure menyoroti bahwa nama untuk skrip PowerShell (icsnd16_64refl.ps1, icbt11801_64refl.ps1) terlihat dalam serangan mengikuti konvensi penamaan yang dilaporkan sebelumnya untuk file FIN7.
Neeraj Singh, seorang peneliti senior di WithSecure, mengatakan kepada BleepingComputer bahwa DiceLoader dan PowerTrash bukan satu-satunya koneksi ke aktivitas FIN7.
Skrip PowerShell (host_ip.ps1) untuk menyelesaikan alamat IP menjadi nama host dan yang khusus digunakan untuk pengintaian pada tahap gerakan lateral serangan juga dikenal sebagai bagian dari perangkat FIN7.
sumber: WithSecure
Singh mengatakan bahwa mereka juga mengamati tumpang tindih teknis lainnya dengan laporan sebelumnya tentang aktivitas yang dikaitkan dengan FIN7. Beberapa contohnya adalah pola eksekusi baris perintah serta konvensi penamaan file.
Begitu mereka mendapat akses ke host, para peretas menggunakan malware mereka, berbagai perintah, dan skrip khusus untuk mengumpulkan informasi sistem dan jaringan, serta kredensial dari basis data cadangan Veeam.
Ketekunan untuk DiceLoader dicapai melalui skrip PowerShell khusus yang disebut PowerHold, kata para peneliti di WithSecure, menambahkan bahwa pelaku ancaman juga mencoba pergerakan lateral menggunakan kredensial yang dicuri, menguji akses mereka dengan pemanggilan WMI dan perintah ‘berbagi bersih’.
sumber: WithSecure
WithSecure melaporkan bahwa penyerang berhasil dalam upaya gerakan lateral mereka. Dengan menggunakan kredensial yang dicuri, para peretas mengandalkan protokol komunikasi SMB untuk menjatuhkan skrip PowerShell ke bagian administratif target.
sumber: WithSecure
Tujuan akhir dari pelaku ancaman dalam kampanye ini masih belum jelas, karena serangan dihentikan sebelum menanam atau mengeksekusi muatan akhir.
Namun, para peneliti mengatakan bahwa intrusi mungkin telah berakhir dengan pengerahan ransomware jika rantai serangan berhasil diselesaikan. Pencurian data bisa menjadi konsekuensi potensial lainnya.
WithSecure merekomendasikan organisasi yang menggunakan perangkat lunak Pencadangan dan Replikasi Veeam untuk memperhatikan informasi yang mereka berikan dan menggunakannya untuk mencari tanda-tanda kompromi di jaringan mereka.
Bahkan jika metode yang tepat untuk menjalankan perintah shell awal tetap tidak diketahui dan bukti eksploitasi CVE-2023-27532 tidak jelas, perusahaan harus memprioritaskan menambal kerentanan karena pelaku ancaman lain mungkin mencoba memanfaatkannya.
FIN7 dikenal karena kemitraannya dengan berbagai operasi ransomware, termasuk yang dijalankan oleh sindikat Conti yang terkenal, REvil, Maze, Egregor, dan BlackBasta.
Baru-baru ini, peneliti IBM menerbitkan laporan tentang FIN7 bekerja sama dengan mantan anggota Conti untuk mendistribusikan strain malware baru yang disebut Domino yang menyediakan akses ke host yang disusupi dan juga memungkinkan penanaman suar Cobalt Strike untuk meningkatkan persistensi.
Koneksi antara Domino dan FIN7 didasarkan pada tumpang tindih kode besar-besaran dengan DiceLoader, Peneliti IBM mencatat dalam laporan mereka.
