威胁者正积极试图利用Veeam Backup & Replication中一个现已打补丁的安全漏洞,来部署Akira和Fog勒索软件。
网络安全厂商Sophos表示,在过去的一个月里,它一直在追踪一系列利用被泄露的VPN凭证和CVE-2024-40711创建本地帐户并部署勒索软件的攻击。
CVE-2024-40711在CVSS等级中被评为9.8级(满分10.0),是一个允许未经验证的远程代码执行的关键漏洞。2024 年 9 月初,Veeam 在备份与复制 12.2 版本中解决了这一问题。
德国 CODE WHITE 公司的安全研究员 Florian Hauser 是发现并报告该安全漏洞的功臣。
在每个案例中,攻击者最初都是在未启用多因素身份验证的情况下使用被入侵的 VPN 网关访问目标的,Sophos 说,其中一些 VPN 运行的是不支持的软件版本。
每次,攻击者都在端口 8000 的 URI /trigger 上利用 VEEAM,触发 Veeam.Backup.MountService.exe 生成 net.exe。该漏洞利用程序创建了一个本地账户‘point’,并将其添加到本地管理员和远程桌面用户组中。
据说,在导致部署 Fog 勒索软件的攻击中,威胁者将勒索软件投放到未受保护的 Hyper-V 服务器上,同时使用 rclone 实用程序外泄数据。其他勒索软件部署均未成功。
对 CVE-2024-40711 的积极利用促使英国国家医疗服务系统(NHS England)发布了一份警告,指出 “企业备份和灾难恢复应用程序是网络威胁组织的重要目标”。
在披露这一消息的同时,Palo Alto Networks 第 42 部门详细介绍了名为 Lynx 的 INC 勒索软件的后续版本,该版本自 2024 年 7 月以来一直处于活跃状态,其攻击目标是美国和英国的零售、房地产、建筑、金融和环境服务领域的组织。
据说,早在2024年3月,INC勒索软件的源代码就在地下犯罪市场上出售,促使恶意软件作者重新包装锁定器并产生新的变种,从而刺激了Lynx的出现。
“Lynx勒索软件与INC勒索软件共享大量源代码,”Unit 42说。“INC勒索软件最初出现在2023年8月,其变种兼容Windows和Linux。”
在此之前,美国卫生与公众服务部(HHS)卫生部门网络安全协调中心(HC3)也发布警告称,该国至少有一家医疗保健实体已成为 Trinity 勒索软件的受害者,Trinity 勒索软件是另一款相对较新的勒索软件,于 2024 年 5 月首次为人所知,据信是 2023Lock 和 Venus 勒索软件的改版。
HC3表示:“这是一种通过多种攻击载体渗透系统的恶意软件,包括钓鱼电子邮件、恶意网站和利用软件漏洞。一旦进入系统,Trinity 勒索软件就会采用双重勒索策略,将受害者作为攻击目标。”
据观察,网络攻击还提供了一种被称为BabyLockerKZ的MedusaLocker勒索软件变种,该变种由一个有经济动机的威胁行为者提供,据悉自2022年10月以来一直很活跃,目标主要位于欧盟国家和南美洲。
Talos 研究人员表示:“该攻击者使用了几种公开的攻击工具和离岸二进制文件(LoLBins),这是由同一开发者(可能是攻击者)构建的一套工具,用于协助被攻击组织的凭证窃取和横向移动。”
这些工具大多是对公开可用工具的封装,其中包括简化攻击过程的附加功能,并提供图形或命令行界面。
转自安全客,原文链接:https://www.anquanke.com/post/id/300858
封面来源于网络,如有侵权请联系删除
