新的Frag勒索软件攻击利用了Veeam备份与复制软件的已知漏洞

十月份中旬，Sophos研究人员警告称，勒索软件运营者正在利用Veeam备份与复制软件中的严重漏洞CVE-2024-40711创建恶意账户并部署恶意软件。2024年9月初，Veeam发布了安全更新以解决影响其产品的多个漏洞，修复了Veeam备份与复制、服务提供商控制台和One中的18个高危和严重漏洞。9月安全公告中包含的最严重漏洞是一个严重、远程代码执行（RCE）漏洞，追踪为CVE-2024-40711（CVSS v3.1评分：9.8），影响Veeam备份与复制（VBR）。

Veeam备份与复制是由Veeam开发的全面数据保护和灾难恢复软件，使组织能够跨物理、虚拟和云环境备份、恢复和复制数据。安全公告指出该漏洞允许未经身份验证的远程代码执行（RCE）。CODE WHITE Gmbh的网络安全研究员Florian Hauser报告了此漏洞。此漏洞影响Veeam备份与复制12.1.2.172及所有更早的12版本。

Sophos X-Ops研究人员观察到最近的攻击利用了被入侵的凭据和Veeam漏洞CVE-2024-40711来部署勒索软件，包括Fog和Akira。攻击者通过缺乏多因素身份验证的VPN网关访问目标，其中一些网关运行的是过时的软件。重叠的指标将这些案例与之前的Fog和Akira勒索软件攻击联系起来。S

ophos在Mastodon上发布的一份声明中写道：“Sophos X-Ops MDR和事件响应团队正在追踪过去一个月中利用被入侵的凭据和Veeam中的已知漏洞（CVE-2024-40711）来创建账户并试图部署勒索软件的一系列攻击。在一个案例中，攻击者投放了Fog勒索软件。在同一时间段内的另一起攻击试图部署Akira勒索软件。所有四个案例中的指标都与早期的Akira和Fog勒索软件攻击重叠。在每个案例中，攻击者最初都使用被入侵的VPN网关（未启用多因素身份验证）访问目标。其中一些VPN运行的是不受支持的软件版本。”威胁行为者利用Veeam URI /trigger（8000端口）来生成net.exe并创建一个名为“point”的本地帐户，将其添加到本地管理员和远程桌面用户组中。在一个案例中，攻击者在一个未受保护的Hyper-V服务器上部署了Fog勒索软件，并使用rclone进行数据泄露。现在，在Akira和Fog勒索软件攻击之后，专家警告威胁行为者正在积极利用CVE-2024-40711部署Frag勒索软件。

Sophos最近发现，一个被追踪为STAC 5881的威胁行为者利用CVE-2024-40711在受感染的网络上部署Frag勒索软件。“漏洞CVE-2024-40711被用作我们命名为STAC 5881的威胁活动集群的一部分。攻击利用了被入侵的VPN设备进行访问，并使用VEEAM漏洞创建了一个名为“point”的新本地管理员帐户。此集群中的一些案例导致部署了Akira或Fog勒索软件。Akira首次出现于2023年，自10月中旬以来似乎处于非活动状态，其信息泄露网站现已下线。”Sophos发布的一份报告中写道。“在最近的一个案例中，MDR分析师再次观察到与STAC 5881相关的战术——但这次观察到部署了一种以前未记录的勒索软件“Frag”。在最近的一次攻击中，威胁组织STAC 5881通过被入侵的VPN设备访问网络，利用VEEAM漏洞，然后创建了名为“point”和“point2”的帐户。使用加密设置执行的Frag勒索软件将*.frag扩展名添加到文件，但最终被Sophos的CryptoGuard阻止。

cybersecurity公司Agger Labs的研究人员还详细描述了Frag勒索软件攻击者的策略、技术和实践与Akira和Fog威胁行为者的相似之处。Agger Labs指出：“Frag勒索软件的隐蔽性是基于对LOLBins的依赖，这是一种广泛被传统威胁行为者采用的策略。通过使用大多数网络中已经存在的合法软件，攻击者可以在结束点检测系统中绕过恶意操作。虽然这在威胁行为者空间中不是新的，但它确实表明勒索软件团队正在适应他们的方法。LOLBins的使用不是Frag独有的；Akira和Fog等勒索软件 strain 也使用了类似的策略，集中于融入正常网络活动，并隐藏在明显的地方。通过使用LOLBins，这些操作员exploit了被信任的软件以进行恶意目的，增加了及时检测的难度。”

原文始发于微信公众号（黑猫安全）：新的Frag勒索软件攻击利用了Veeam备份与复制软件的已知漏洞