EstateRansomware：从 FortiGate 到网络核心的黑客之旅

一个旧漏洞已成为勒索软件工具。

修复了 Veeam Backup & Replication 中被名为 EstateRansomware 的新勒索软件利用的漏洞。 Group-IB于2024年4月上旬发现了攻击者，表示此次攻击涉及利用CVE-2023-27532漏洞进行恶意活动。

组-IB 已找到

CVE-2023-27532（CVSS 评分：7.5）允许获取存储在配置数据库中的加密凭据，这可能导致对备份基础设施主机的访问。

CVE-2023-27532

该错误于 2023 年 3 月上旬修复，随后针对该缺陷发布了 PoC 漏洞。该漏洞影响该软件的所有版本，未经授权的攻击者可以利用该漏洞窃取凭据并代表 SYSTEM 远程执行代码。

于三月初修复 已发布

攻击链

攻击链

据报告，对目标环境的初始访问是通过 Fortinet FortiGate 防火墙 SSL VPN 设备使用非活动帐户“Acc1”进行的。攻击者从 FortiGate 防火墙转移到 SSL VPN 服务，以获取对容错服务器的访问权限。

飞塔

然后，黑客继续建立从防火墙到故障转移服务器的 RDP 连接，然后部署一个名为“svchost.exe”的持久后门，该后门每天作为计划任务的一部分运行。

随后的网络访问是使用后门进行的，以避免被发现。该后门的主要任务是通过HTTP连接到C2服务器并执行任意命令。

HTTP

该漏洞可能涉及从文件服务器上的 VeeamHax 文件夹发起针对备份服务器上安装的 Veeam Backup & Replication 易受攻击版本的攻击。此活动有助于激活存储过程“xp_cmdshell”以及随后创建帐户“VeeamBkp”。