Hackers están atacando servidores de respaldo vulnerables expuestos en línea
Los servidores de respaldo (backup) de Veeam están siendo atacados por al menos un grupo de atacantes que se sabe que trabajan con múltiples bandas de ransomware de alto perfil.
Se han observado actividades maliciosas y herramientas que se hacen eco de los ataques de FIN7 en intrusiones desde el 28 de marzo, menos de una semana después de que un exploit estuviera disponible para una vulnerabilidad de alta gravedad en el software Veeam Backup and Replication (VBR).
Identificado como CVE-2023-27532, el problema de seguridad expone las credenciales cifradas almacenadas en la configuración de VBR a usuarios no autenticados en la infraestructura de respaldo. Esto podría usarse para acceder a los hosts de infraestructura de respaldo.
El proveedor de software reparó el problema el 7 de marzo y proporcionó instrucciones para solucionarlo.
El 23 de marzo, la empresa de pentesting de Horizon3 lanzó un exploit para CVE-2023-27532, que también demostró cómo se podía abusar de un punto final de API no seguro para extraer las credenciales en texto plano. Un atacante que aproveche la vulnerabilidad también podría ejecutar código de forma remota con los privilegios más altos.
En ese momento, Huntress Labs advirtió que todavía había aproximadamente 7500 hosts VBR expuestos a Internet que parecían ser vulnerables.
Conexiones con FIN7
Los investigadores de amenazas de la empresa finlandesa de ciberseguridad y privacidad WithSecure señalan en un informe esta semana que los ataques que observaron a fines de marzo se dirigieron a servidores que ejecutaban el software Veeam Backup and Replication a los que se podía acceder a través de la web pública.
Las tácticas, técnicas y procedimientos fueron similares a la actividad previamente atribuida a FIN7.
Según el momento de la campaña, abrir el puerto TCP 9401 en servidores comprometidos y los hosts que ejecutan una versión vulnerable de VBR, los investigadores creen que el intruso probablemente explotó la vulnerabilidad CVE-2023-27532 para acceder y ejecutar código malicioso.
Mientras realizaban un ejercicio de búsqueda de amenazas usando datos de telemetría de Endpoint Detection and Response (EDR) de WithSecure, los investigadores notaron algunos servidores de Veeam que generaban alertas sospechosas. Por ejemplo, sqlservr.exe
generando cmd.exe
y descargando scripts de PowerShell.
Una mirada más cercana mostró que los atacantes ejecutaron inicialmente el script PowerTrash PowerShell, visto en ataques anteriores atribuidos a FIN7. El script incluía un payload, la puerta trasera DiceLoader/Lizar
, que se ejecutaba en la máquina comprometida.
DiceLoader, también identificada como Tirion, también se ha relacionado con la actividad maliciosa de FIN7 en el pasado. Vale la pena señalar que los incidentes más recientes atribuidos a esta banda hicieron uso de una puerta trasera diferente que los investigadores de Mandiant llaman PowerPlant.
Scripts relacionados con FIN7
WithSecure destaca que los nombres de los scripts de PowerShell (icsnd16_64refl.ps1, icbt11801_64refl.ps1) vistos en los ataques siguieron la convención de nomenclatura informada anteriormente para los archivos de FIN7.
Neeraj Singh, investigador principal de WithSecure dijo que DiceLoader y PowerTrash no eran las únicas conexiones con la actividad de FIN7.
También sabemos que un script de PowerShell (host_ip.ps1
) para resolver las direcciones IP en nombres de host y un script personalizado utilizado para el reconocimiento en la etapa de movimiento lateral del ataque son parte del conjunto de herramientas de FIN7.
Singh dijo que también observaron otras superposiciones técnicas con informes anteriores sobre la actividad atribuida a FIN7. Algunos ejemplos son los patrones de ejecución de la línea de comandos, así como las convenciones de nomenclatura de archivos.
Una vez que obtuvieron acceso al host, los hackers utilizaron su malware, varios comandos y scripts personalizados para recopilar información del sistema y de la red. Asimismo, recopilaron credenciales de la base de datos de respaldo de Veeam.
La persistencia para DiceLoader se logró a través de un script PowerShell personalizado llamado PowerHold
, segun los investigadores de WithSecure. Además, agregaron que los atacantes también intentaron el movimiento lateral usando credenciales robadas, probando su acceso con invocaciones de WMI y comandos de ‘compartir red’.
WithSecure reportó que los atacantes tuvieron éxito en su esfuerzo de movimiento lateral. Usando las credenciales robadas, los hackers confiaron en el protocolo de comunicación SMB para colocar scripts de PowerShell en los recursos compartidos administrativos del objetivo.
Objetivos de los atacantes
El objetivo final de los atacantes en esta campaña sigue sin estar claro, ya que los ataques se interrumpieron antes de plantar o ejecutar el payload final.
Sin embargo, los investigadores dicen que las intrusiones pueden haber terminado con la implementación de ransomware si la cadena de ataque se completó con éxito. El robo de datos podría haber sido otra consecuencia potencial.
WithSecure recomienda a las organizaciones que utilizan el software Veeam Backup and Replication que presten atención a la información que proporcionaron y la utilicen para buscar signos de compromiso en su red.
Incluso si se desconoce el método exacto para invocar los comandos de shell iniciales y la evidencia de la explotación de CVE-2023-27532 no estaba clara, las empresas deberían priorizar la reparación de la vulnerabilidad, ya que otros atacantes pueden intentar aprovecharla.
FIN7 es conocido por su asociación con varias operaciones de ransomware, incluidas las del infame grupo Conti, REvil, Maze, Egregor y BlackBasta.
Recientemente, los investigadores de IBM publicaron un informe sobre la asociación de FIN7 con ex miembros de Conti para distribuir una nueva variedad de malware llamada Domino que brinda acceso al host comprometido y también permite plantar una baliza Cobalt Strike para una mayor persistencia.
La conexión entre Domino y FIN7 se basó en una superposición masiva de código con DiceLoader, según señalaron los investigadores de IBM en su informe.