详细内容或原文请订阅后点击阅览
勒索软件团体瞄准 Veeam Backup & Replication 漏洞
发现多个勒索软件组织利用 Veeam Backup & Replication 中的漏洞 CVE-2023-27532。漏洞 CVE-2023-275327(CVSS 评分为 7.5)影响 Veeam Backup & Replication 组件。攻击者可以利用此问题获取存储在配置数据库中的加密凭据,从而可能获得对备份基础架构主机的访问权限。[…]
来源:Security Affairs _恶意软件勒索软件组织针对 Veeam Backup & Replication 漏洞
勒索软件组织针对 Veeam Backup & Replication 漏洞
发现多个勒索软件组织利用 Veeam Backup & Replication 中的漏洞 CVE-2023-27532。
漏洞 CVE-2023-275327(CVSS 评分为 7.5)影响 Veeam Backup & Replication 组件。攻击者可以利用此问题获取存储在配置数据库中的加密凭据,从而可能导致获得对备份基础设施主机的访问权限。
该漏洞于 2023 年 3 月得到解决,不久后,针对此问题的 PoC 漏洞利用代码被公开发布。
已解决专家观察到,俄罗斯网络犯罪组织 FIN7 自 2023 年 4 月以来一直在利用该漏洞,而
FIN7BlackBerry 的研究人员报告称,2024 年 6 月,一名威胁行为者使用 Akira 勒索软件攻击了一家拉丁美洲航空公司。最初通过安全外壳 (SSH) 协议访问目标网络,攻击者在第二天部署 Akira 勒索软件之前窃取了关键数据。他们滥用合法工具和 Living off-the-Land 二进制文件和脚本 (LOLBAS) 进行侦察和持久性。数据泄露完成后,攻击者部署勒索软件来加密受感染的系统。 Akira 是一种勒索软件即服务 (RaaS),已被 Storm-1567(又名 Punk Spider 和 GOLD SAHARA)使用,该组织自 2023 年以来一直活跃。对 Remmina 相关域的 DNS 查询等指标表明攻击者可能是基于 Linux 的用户。
Akira 勒索软件 Storm-1567以下是 Akira 攻击链的第一天和第二天:
在对拉丁美洲航空公司的攻击中,攻击者首次可见地访问未修补的 Veeam 备份服务器是通过路由器 IP 地址的 SSH。专家认为,攻击者使用了漏洞 CVE-2023-27532 的公开漏洞。
CVE-2023-27532 报告 已报告 CVE-2023-27532Pierluigi Paganini
Pierluigi Paganini @securityaffairs