近期，勒索软件攻击者利用Veeam Backup & Replication中的关键漏洞CVE-2024-40711部署Frag勒索软件。Sophos研究人员发现，攻击者利用泄露的凭证和该漏洞创建账户并部署恶意软件，包括Fog和Akira。攻击者通常通过未启用多因素身份验证的VPN网关访问目标，部分网关运行过时的软件。此外，威胁组织STAC 5881也利用该漏洞部署Frag勒索软件，创建名为“point”和“point2”的账户，并在文件中添加*.frag扩展名。专家警告，威胁者正积极利用CVE-2024-40711漏洞，建议用户及时更新Veeam软件并加强安全防护。

🤔 **Veeam漏洞CVE-2024-40711被利用**: 勒索软件运营商利用该漏洞创建流氓账户并部署恶意软件，包括Fog、Akira和Frag。

💻 **攻击者利用手段**: 攻击者通过泄露的凭证和VPN网关访问目标，其中部分VPN网关运行过时的软件且未启用多因素身份验证。

🛡️ **Frag勒索软件部署**: 威胁组织STAC 5881利用该漏洞部署Frag勒索软件，创建名为“point”和“point2”的账户，并在文件中添加*.frag扩展名。

⚠️ **专家警告**: 专家警告威胁者正积极利用CVE-2024-40711漏洞，建议用户及时更新Veeam软件并加强安全防护。

🔍 **LOLBins技术**: Frag勒索软件利用LOLBins技术，即使用网络中已存在的合法软件进行恶意操作，以绕过端点检测系统，隐藏在正常网络活动中。

最近，Veeam Backup & Replication (VBR)中一个被追踪为CVE-2024-40711的关键漏洞也被利用来部署Frag勒索软件。10月中旬，Sophos研究人员警告说，勒索软件运营商正在利用Veeam Backup & Replication中的关键漏洞CVE-2024-40711创建流氓账户并部署恶意软件。2024 年 9 月初，Veeam 发布了安全更新，以解决影响其产品的多个漏洞，该公司修复了 Veeam Backup & Replication、Service Provider Console 和 One 中的 18 个高严重性和关键严重性漏洞。2024年9月安全公告中最严重的漏洞是一个重要的远程代码执行（RCE）漏洞，该漏洞被追踪为CVE-2024-40711（CVSS v3.1得分：9.8），影响了Veeam Backup & Replication (VBR)。Veeam Backup & Replication 是 Veeam 开发的一款全面的数据保护和灾难恢复软件。它使企业能够跨物理、虚拟和云环境备份、恢复和复制数据。“漏洞允许未经验证的远程代码执行（RCE）。”CODE WHITE Gmbh 公司的网络安全研究员 Florian Hauser 报告了这一漏洞。该漏洞影响 Veeam Backup & Replication 12.1.2.172 和所有早期版本 12 的构建。Sophos X-Ops研究人员观察到最近的攻击利用了被泄露的凭证和Veeam漏洞CVE-2024-40711来部署勒索软件，包括Fog和Akira。攻击者通过缺乏多因素身份验证的VPN网关访问目标，其中一些网关运行过时的软件。重叠指标将这些案例与之前的 Fog 和 Akira 勒索软件攻击联系起来。“Sophos X-Ops MDR 和 Incident Response 正在追踪上个月发生的一系列攻击事件，这些攻击利用被泄露的凭证和 Veeam 中的一个已知漏洞（CVE-2024-40711）创建账户并试图部署勒索软件。“在一个案例中，攻击者投放了Fog勒索软件。同一时间段的另一起攻击则试图部署 Akira 勒索软件。所有 4 个案例中的迹象都与早期的 Akira 和 Fog 勒索软件攻击重叠。在每个案例中，攻击者最初都是使用未启用多因素身份验证的受损 VPN 网关访问目标。其中一些 VPN 运行的是不支持的软件版本。”威胁者利用端口 8000 上的 Veeam URI /trigger 启动 net.exe，并创建一个名为 “point ”的本地账户，将其添加到本地管理员和远程桌面用户组中。在一个案例中，攻击者在未受保护的 Hyper-V 服务器上部署了 Fog 勒索软件，并使用 rclone 进行数据外渗。现在，在 Akira 和 Fog 勒索软件攻击之后，专家警告说，威胁者正试图利用 CVE-2024-40711 积极部署 Frag 勒索软件。Sophos 最近发现，一个被追踪为 STAC 5881 的威胁者利用 CVE-2024-40711 在被入侵网络上部署 Frag 勒索软件。“CVE-2024-40711漏洞被用作我们命名为STAC 5881的威胁活动集群的一部分。攻击利用被入侵的 VPN 设备进行访问，并利用 VEEAM 漏洞创建名为 “point ”的新本地管理员账户。该群组中的一些案例导致了 Akira 或 Fog 勒索软件的部署。Akira 于 2023 年首次出现，自 10 月中旬以来似乎已不再活跃，其信息泄漏网站现已下线”，Sophos 发布的一份报告中写道。“在最近的一个案例中，MDR 分析师再次观察到了与 STAC 5881 相关的策略，但这次观察到的是部署了一种以前未记录的名为 “Frag ”的勒索软件。”在最近的一次攻击中，威胁组织 STAC 5881 通过被入侵的 VPN 设备访问网络，利用 VEEAM 漏洞，然后创建了名为 “point ”和 “point2 ”的账户。使用加密设置执行的 Frag 勒索软件在文件中添加了 *.frag 扩展名，但最终被 Sophos 的 CryptoGuard 阻止。网络安全公司 Agger Labs 的研究人员还详细介绍了 Frag 背后的行为者与 Akira 和 Fog 威胁行为者在战术、技术和做法上的相似之处。“Frag 勒索软件隐身的一个关键原因是它依赖于 LOLBins，这是一种被更多传统威胁行为者广泛采用的策略。通过使用大多数网络中已经存在的熟悉的合法软件，攻击者可以在绕过端点检测系统的同时进行恶意操作。“Agger Labs 表示，”虽然这在威胁行为者领域肯定不是什么新鲜事，但它确实表明了勒索软件制作者正在如何调整他们的方法。“使用 LOLBins 并不是 Frag 独有的做法；Akira 和 Fog 等勒索软件也采用了类似的策略，重点是混入正常的网络活动并隐藏在众目睽睽之下。通过使用 LOLBins，这些运营商利用可信软件达到恶意目的，增加了及时发现的难度。”