已被修补的一个安全漏洞现正被一个新兴的勒索软件团伙EstateRansomware所利用，该团伙的目标是Veeam Backup & Replication软件。

总部位于新加坡的 Group-IB 于 2024 年 4 月初发现了该威胁行为者，该公司表示，作案手法涉及利用 CVE-2023-27532（CVSS 评分：7.5）进行恶意活动。

据称，攻击者通过使用一个休眠账户，借助Fortinet FortiGate防火墙SSL VPN设备获得了对目标环境的初始访问权。

“威胁行为者从FortiGate防火墙通过SSL VPN服务横向移动，以访问故障转移服务器，”安全研究员Yeo Zi Wei在今日发布的一份分析报告中表示。

在勒索软件攻击发生前，2024年4月记录到了使用名为‘Acc1’的休眠账户进行的VPN暴力破解尝试。几天后，使用‘Acc1’成功登录VPN的记录追溯到了远程IP地址149.28.106[.]252。

接下来，威胁行为者从防火墙建立了到故障转移服务器的RDP连接，然后部署了一个名为“svchost.exe”的持久性后门，该后门通过计划任务每天执行。

随后，利用这个后门实现了对网络的进一步访问，以此躲避检测。后门的主要作用是通过HTTP连接到命令与控制（C2）服务器，并执行攻击者发出的任意命令。

Group-IB观察到，该行为者利用了Veeam漏洞CVE-2023-27532，目的是在备份服务器上启用xp_cmdshell，并创建一个名为“VeeamBkp”的恶意用户账户，同时使用诸如NetScan、AdFind和NitSoft等工具通过新创建的账户进行网络发现、枚举和凭据收集活动。

Zi Wei推测，“这种利用可能涉及到从文件服务器上的VeeamHax文件夹发起的攻击，针对安装在备份服务器上的Veeam Backup & Replication软件的易受攻击版本。”

“这一活动促进了xp_cmdshell存储过程的激活，随后创建了‘VeeamBkp’账户。”

在部署勒索软件之前，攻击者采取了削弱防御措施的步骤，使用被攻破的域账户从AD服务器横向移动到所有其他服务器和工作站。

Group-IB表示：“Windows Defender使用DC.exe [Defender Control]永久禁用，然后使用PsExec.exe部署和执行勒索软件。

思科 Talos 透露，大多数勒索软件团伙优先考虑使用面向公众的应用程序、网络钓鱼附件或破坏有效帐户中的安全漏洞来建立初始访问权限，并规避其攻击链中的防御措施以增加受害者网络的停留时间。

在加密文件之前泄露数据的双重勒索模型进一步催生了由参与者开发的自定义工具（例如 Exmatter、Exbyte 和 StealBit），用于将机密信息发送到对手控制的基础设施。

这需要这些电子犯罪集团建立长期访问以探索环境，以了解网络结构，找到可以支持攻击的资源，提升他们的特权，或允许他们混入其中，并识别可能被盗的价值数据。

“在过去的一年里，我们目睹了勒索软件领域的重大变化，出现了多个新的勒索软件组织，每个组织都表现出独特的目标、运营结构和受害者学，”Talos说。

“这种多元化凸显了向更多精品目标网络犯罪活动的转变，因为 Hunters International、Cactus 和 Akira 等团体开辟了特定的利基市场，专注于不同的运营目标和风格选择，以区分自己。”