点击蓝字 关注我们
1. Veeam漏洞再成攻击目标:从Akira到EstateRansomware的威胁链条
2023年3月,Veeam修复了一个高危VBR漏洞(CVE-2023-27532),该漏洞可能让恶意行为者入侵备份基础设施。几个月后,与金融动机驱动的威胁组织FIN7相关的攻击中使用了CVE-2023-27532漏洞,该漏洞被用于针对美国关键基础设施组织的Cuba勒索软件攻击。
漏洞编号CVE-2023-275327(CVSS评分为7.5)影响了Veeam Backup & Replication组件。攻击者可利用该漏洞从配置数据库中获取加密凭据,可能进一步访问备份基础架构的主机。
该漏洞已于2023年3月发布补丁,随后不久公开了该漏洞的概念验证(PoC)攻击代码。
专家观察到,自2023年4月以来,俄罗斯网络犯罪组织FIN7一直在利用该漏洞。
(译者注:FIN7 是一个以俄罗斯为基地的网络犯罪组织,活跃于全球的网络攻击活动,专注于金融、零售和酒店等高价值目标。其常用攻击手段包括鱼叉式网络钓鱼、恶意软件(如Carbanak和Lizar),并以“网络犯罪即服务”形式向其他犯罪集团提供恶意软件。FIN7组织结构类似于合法企业,内部分工明确,与勒索软件组织REvil和DarkSide等也有合作。尽管执法部门对其成员进行了逮捕,但FIN7依旧活跃,持续威胁全球网络安全。)
根据BlackBerry的研究报告,2024年6月,一名威胁行为者利用Akira勒索软件攻击了拉丁美洲的一家航空公司。攻击者首先通过SSH协议获得对目标网络的初始访问权限,在随后的一天内窃取关键数据后部署了Akira勒索软件。攻击者利用合法工具和本地执行的二进制文件和脚本(LOLBAS)进行侦察和持久性操作。数据窃取完成后,攻击者部署勒索软件以加密被感染的系统。Akira是一种勒索软件即服务(RaaS),由自2023年以来活跃的组织Storm-1567(又称Punk Spider和GOLD SAHARA)使用。某些迹象表明,如DNS查询Remmina相关域名,表明攻击者可能是基于Linux的用户。
以下为Akira攻击链的第1天和第2天的攻击过程概要:
在对一家拉丁美洲航空公司的攻击中,攻击者通过SSH从路由器的IP地址首次访问了一个未修补的Veeam备份服务器。专家认为,攻击者利用了公开的CVE-2023-27532漏洞的利用代码。
一旦进入网络,攻击者创建了一个名为“backup”的用户,并将其加入管理员组,以确保获得提升的权限。随后,攻击者部署了合法的网络管理工具Advanced IP Scanner,利用“route print”命令识别的本地子网进行扫描。
控制了Veeam备份数据后,攻击者访问了备份文件夹,压缩并上传了多种文件类型,包括文档、图片和电子表格,目的是收集机密和有价值的信息。他们使用免费的Windows文件管理工具WinSCP将数据传输到自己控制的服务器。
从初始登录到数据传输完成,整个操作仅耗时133分钟,最后一条命令在UTC时间下午4:55执行完毕。
根据BlackBerry发布的报告,“在主要的Veeam备份服务器上运行NetScan时,虚拟机主机上的防病毒保护已通过UI和命令行被禁用。”持久性建立后,攻击者试图以Veeam备份服务器为控制点,在整个网络中部署勒索软件。攻击者从被攻陷的Veeam服务器向各个主机分发了名为“w.exe”的Akira勒索软件。
Group-IB的研究人员也发现了一个勒索软件团伙利用Veeam Backup & Replication漏洞的情况。据报道,2024年4月,EstateRansomware团伙使用PoC代码攻击了CVE-2023-27532漏洞。
(译者注:EstateRansomware 是一个新兴的勒索软件团伙,以高价值企业和关键基础设施为攻击目标。该组织通过利用已知软件漏洞(如Veeam备份软件漏洞CVE-2023-27532)获取初始访问权限,并在网络内部横向移动、提升权限,最终部署勒索软件对数据进行加密和窃取。与其他勒索软件团伙类似,EstateRansomware采用“双重勒索”策略,即在加密数据的同时,窃取敏感信息并威胁公开以施加压力。该团伙的行动具有高度的针对性和专业性,显示出对网络漏洞利用及攻击链的深刻理解。)
2. Veeam漏洞被持续利用:从Akira到新型勒索软件Frag的演变分析
Akira和Fog勒索软件攻击中被利用的Veeam Backup & Replication (VBR) 的关键安全漏洞最近也被用于部署新型勒索软件Frag。安全研究员Florian Hauser发现,该漏洞(编号为CVE-2024-40711)源于未受信任数据反序列化的弱点,未经身份验证的攻击者可利用此漏洞在Veeam VBR服务器上实现远程代码执行(RCE)。
watchTowr Labs在9月9日发布了CVE-2024-40711的技术分析,并推迟至9月15日才发布概念验证(PoC)漏洞利用代码,以便管理员有时间应用Veeam在9月4日发布的安全更新。同样,Code White在披露该漏洞时也延迟提供更多细节,以避免漏洞被勒索软件团伙立即利用。
这些延迟的原因在于,Veeam的VBR软件广泛用于灾难恢复和数据保护,成为威胁行为者寻求快速访问公司备份数据的热门目标。然而,Sophos X-Ops的响应团队发现,这些措施对Akira和Fog勒索软件的攻击延缓效果有限。攻击者利用RCE漏洞和被盗的VPN网关凭据,在未修补和暴露于互联网的服务器上将恶意账户添加到本地管理员和远程桌面用户组中。
上个月,Sophos X-Ops 报告了多个托管检测与响应(MDR)案例,显示威胁行为者利用 Veeam 备份服务器中的漏洞(CVE-2024-40711)进行攻击。该漏洞被用于 Sophos 定义的威胁活动集群 STAC 5881 中。攻击者通过受损的 VPN 设备获取初始访问权限,进一步利用 Veeam 漏洞创建了一个名为 “point” 的本地管理员账号。
在这一系列攻击中,一些案例中部署了 Akira 或 Fog 勒索软件。Akira 于 2023 年首次出现,自 10 月中旬以来其泄露网站已下线,似乎目前已不活跃。而 Fog 勒索软件则在今年早些时候首次出现。最近,MDR 分析人员再次观察到与 STAC 5881 相关的攻击手法,但这次部署了一种此前未记录的勒索软件,名为“Frag”。
在与之前类似的攻击事件中,威胁行为者利用受损的 VPN 设备获取初始访问权限,随后利用 Veeam 漏洞,并创建了名为 “point” 的新账户。然而在本次事件中,攻击者还创建了一个 “point2” 账户。
“Frag” 勒索软件可以通过命令行执行,并接受多个参数,其中一个必要参数是文件加密的百分比。攻击者可以指定需要加密的目录或单个文件,从而实现更具针对性的加密操作。
在文件被加密后,它们会被添加“.frag”后缀。在本案例中,Sophos 端点保护的 CryptoGuard 功能成功拦截了该勒索软件的活动。此外,Sophos 已为该勒索软件的二进制文件添加了检测功能,以进一步提升防护效果。
英国网络安全公司Agger Labs最近发布的报告指出,Frag勒索软件团伙在攻击中广泛使用LOLBins(Living Off The Land二进制文件)——即已在被入侵系统上可用的合法软件——使得防御方难以检测其活动。Agger Labs还发现,Frag的攻击手法与Akira和Fog勒索软件类似,通常针对备份和存储解决方案中的未修补漏洞和配置错误。Sophos X-Ops正密切监控这一可能的新型勒索软件威胁行为者的出现,其行为方式与Akira勒索软件先前的活动类似。主要威胁研究员Sean Gallagher表示,他们将持续跟踪此类威胁行为,并在获得更多技术细节后对本文进行更新。
3. Akira勒索家族
3.1 简介
Akira勒索病毒团伙于2023年4月首次被发现。研究人员很快发现其文件加密程序在代码上与已经解散的Conti团伙的勒索软件有许多相似之处,推测可能与Conti存在某种联系,尽管Conti的加密程序源代码早已泄露,这种相似性并不一定意味着两者有直接关联。然而,通过区块链分析也发现了Akira与Conti可能存在关联的潜在线索。
需要注意的是,2023年出现的Akira团伙与2017年活跃的同名勒索软件没有明确联系,尽管两者都使用“.akira”作为加密文件的扩展名。随后,该团伙于2023年7月2日发布了修复解密漏洞的新版Akira,更新后的版本据称用Rust编写,并将加密文件的扩展名更改为“.powerranges”,程序名为“megazord.exe”。
Akira的初始访问通常通过对Cisco VPN设备进行暴力破解尝试,尤其是那些仅使用单因素身份验证的目标。获得初始访问后,攻击者会迅速利用“哈希传递”攻击及横向移动工具(如PsExec)获取系统的管理控制权。在入侵成功后,Akira会禁用受害者系统的安全防护措施,删除备份文件(如卷影副本),并加密关键文件。攻击者通常留下名为“akira_readme.txt”的勒索说明,要求受害者通过Tor浏览器与他们进行谈判和支付赎金。
Akira的攻击手段复杂多样,攻击者会利用合法工具(LOLBins)在目标网络内横向移动,并使用工具如Rclone进行数据窃取,以增加对受害者的压力。在某些案例中,受害者通过及时的安全响应和隔离措施,成功阻止了Akira勒索病毒的进一步传播。
3.2 加密后缀
.akira
.powerranges
3.3 勒索信
akira_readme.txt
Hi friends,
Whatever who you are and what your title is if you're reading this it means the internal infrastructure of your company is fully or partially dead, all your backups - virtual, physical - everything that we managed to reach - are completely removed. Moreover, we have taken a great amount of your corporate data prior to encryption.
Well, for now let's keep all the tears and resentment to ourselves and try to build a constructive dialogue. We're fully aware of what damage we caused by locking your internal sources. At the moment, you have to know:
1. Dealing with us you will save A LOT due to we are not interested in ruining your financially. We will study in depth your finance, bank & income statements, your savings, investments etc. and present our reasonable demand to you. If you have an active cyber insurance, let us know and we will guide you how to properly use it. Also, dragging out the negotiation process will lead to failing of a deal.
2. Paying us you save your TIME, MONEY, EFFORTS and be back on track within 24 hours approximately. Our decryptor works properly on any files or systems, so you will be able to check it by requesting a test decryption service from the beginning of our conversation. If you decide to recover on your own, keep in mind that you can permanently lose access to some files or accidently corrupt them - in this case we won't be able to help.
3. The security report or the exclusive first-hand information that you will receive upon reaching an agreement is of a great value, since NO full audit of your network will show you the vulnerabilities that we've managed to detect and used in order to get into, identify backup solutions and upload your data.
4. As for your data, if we fail to agree, we will try to sell personal information/trade secrets/databases/source codes - generally speaking, everything that has a value on the darkmarket - to multiple threat actors at ones. Then all of this will be published in our blog - https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion.
5. We're more than negotiable and will definitely find the way to settle this quickly and reach an agreement which will satisfy both of us.
If you're indeed interested in our assistance and the services we provide you can reach out to us following simple instructions:
1. Install TOR Browser to get access to our chat room - https://www.torproject.org/download/.
2. Paste this link - https://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion.
3. Use this code - [snip] - to log into our chat.
Keep in mind that the faster you will get in touch, the less damage we cause.
3.4 攻击手法
3.4.1 初始访问
FBI 和网络安全研究人员观察到 Akira 威胁行为者通过虚拟专用网络 (VPN) 服务获得对组织的初始访问权限,而无需配置多因素身份验证 ,主要使用已知的 Cisco 漏洞 CVE-2020-3259 和 CVE-2023-20269。其他初始访问方法包括使用面向外部的服务,例如远程桌面协议 (RDP) 鱼叉式网络钓鱼 ,以及滥用有效凭证
3.4.2 持久性和发现
一旦获得初始访问权限,Akira 威胁行为者就会试图通过创建新的域帐户来滥用域控制器的功能来建立持久性。在某些情况下,FBI 发现 Akira 威胁行为者创建了一个名为 .itadm
根据 FBI 和开源报告,Akira 威胁行为者利用利用后攻击技术,例如 Kerberoasting,以提取存储在本地安全机构子系统服务 (LSASS)Akira 威胁行为者还使用 Mimikatz 和 LaZagne 等凭据抓取工具 来帮助权限提升。SoftPerfect 和 Advanced IP Scanner 等工具通常用于网络设备发现(侦察)目的 和 Windows 命令用于识别域控制器 并收集有关域信任关系的信息.net
有关这些工具的描述性列表,请参见下表。
3.4.3 防御闪避
根据可信的第三方调查,已观察到 Akira 威胁行为者在同一入侵事件中针对不同的系统架构部署了两种不同的勒索软件变体。这标志着与最近报告的 Akira 勒索软件活动不同。首先观察到 Akira 威胁行为者部署了特定于 Windows 的“Megazord”勒索软件,进一步分析显示,在此攻击中同时部署了第二个有效载荷(后来被确定为 Akira ESXi 加密器“Akira_v2”的新变体)。
当 Akira 威胁行为者准备横向移动时,他们通常会禁用安全软件以避免被发现。网络安全研究人员观察到 Akira 威胁行为者使用 PowerTool 利用 Zemana AntiMalware 驱动程序并终止与防病毒相关的进程。
3.4.4 渗漏和影响
Akira 威胁行为者利用 FileZilla、WinRAR、WinSCP 和 RClone 等工具来泄露数据。为了建立命令和控制渠道,威胁行为者利用 AnyDesk、MobaXterm、RustDesk、Ngrok 和 Cloudflare Tunnel 等现成的工具,通过各种协议(如文件传输协议 (FTP)、安全文件传输协议 (SFTP))和云存储服务(如 Mega)进行渗透,以连接到渗透服务器。
Akira 威胁行为者使用双重勒索模型和加密系统 泄露数据后。Akira 赎金记录为每家公司提供了一个唯一的代码和说明,以便通过 URL 联系威胁行为者。Akira 威胁行为者不会在受感染的网络上留下初始赎金要求或付款说明,也不会在受害者联系之前传递此信息。赎金以比特币支付给威胁行为者提供的加密货币钱包地址。根据 FBI 的报告,为了进一步施加压力,Akira 威胁行为者威胁要在 Tor 网络上发布泄露的数据,在某些情况下还打电话给受害公司.a .onion
3.5 Akira暗网平台
3.5.1 主页
3.5.2 谈判页
3.6 加密算法
Akira 威胁行为者利用复杂的混合加密方案来锁定数据。这涉及将 ChaCha20 流密码与 RSA 公钥密码系统相结合,以实现速度和安全的密钥交换 。这种多层方法根据文件类型和大小定制加密方法,并且能够进行完全或部分加密。加密文件附加有 a 或 扩展名。为了进一步抑制系统恢复,Akira 的加密程序 () 利用 PowerShell 命令删除 Windows 系统上的卷影副本 。此外,名为 的赎金票据将同时出现在根目录 () 和每个用户的主目录 () 中。.akira.powerrangesw.exefn.txtC:C:Users
受信任的第三方分析确定,Akira_v2 加密器是其先前版本的升级,由于它是用 (Rust) 编写的语言,因此包括额外的功能。早期版本的加密程序提供了在运行时插入参数的选项,包括:
-
-p --encryption_path (targeted file/folder paths)
-
-s --share_file (targeted network drive path)
-
-n --encryption_percent (percentage of encryption)
-
--fork (create a child process for encryption
插入额外线程的能力使 Akira 威胁行为者能够更精细地控制正在使用的 CPU 内核数量,从而提高加密过程的速度和效率。新版本还增加了一层保护,利用 Build ID 作为运行条件来阻碍动态分析。如果没有唯一的内部版本 ID,加密程序将无法成功执行。在 Akira_v2 中还观察到仅使用 “” 针对虚拟机进行部署的能力以及停止运行具有 “” 功能的虚拟机的能力。加密后,Linux ESXi 变体可能包含文件扩展名 “” 或在文件使用新命名法加密的目录中添加名为 “” 的赎金票据。vmonlystopvmakiranewakiranew.txt
想要知道Fog勒索家族的相关信息,请阅读【新闻转载】突破最后一道安全防线:多个勒索家族盯上Veeam备份漏洞,大规模数据勒索来袭。
4. 文章来源
https://news.sophos.com/en-us/2024/11/08/veeam-exploit-seen-used-again-with-a-new-ransomware-frag/
https://www.bleepingcomputer.com/news/security/critical-veeam-rce-bug-now-used-in-frag-ransomware-attacks/
https://securityaffairs.com/165753/malware/ransomware-groups-target-veeam-backup-replication-bug.html
以下是solar安全团队近期处理过的常见勒索病毒后缀:后缀.lol勒索病毒,.360勒索病毒,.halo勒索病毒,.phobos勒索病毒,.Lockfiles勒索病毒,.stesoj勒索病毒,.src勒索病毒,.svh勒索病毒,.Elbie勒索病毒,.Wormhole勒索病毒.live勒索病毒, .rmallox勒索病毒, .mallox 勒索病毒,.hmallox勒索病毒,.jopanaxye勒索病毒, .2700勒索病毒, .elbie勒索病毒, .mkp勒索病毒, .dura勒索病毒, .halo勒索病毒, .DevicData勒索病毒, .faust勒索病毒, ..locky勒索病毒, .cryptolocker勒索病毒, .cerber勒索病毒, .zepto勒索病毒, .wannacry勒索病毒, .cryptowall勒索病毒, .teslacrypt勒索病毒, .gandcrab勒索病毒, .dharma勒索病毒, .phobos勒索病毒, .lockergoga勒索病毒, .coot勒索病毒, .lockbit勒索病毒, .nemty勒索病毒, .contipa勒索病毒, .djvu勒索病毒, .marlboro勒索病毒, .stop勒索病毒, .etols勒索病毒, .makop勒索病毒, .mado勒索病毒, .skymap勒索病毒, .aleta勒索病毒, .btix勒索病毒, .varasto勒索病毒, .qewe勒索病毒, .mylob勒索病毒, .coharos勒索病毒, .kodc勒索病毒, .tro勒索病毒, .mbed勒索病毒, .wannaren勒索病毒, .babyk勒索病毒, .lockfiles勒索病毒, .locked勒索病毒, .DevicData-P-XXXXXXXX勒索病毒, .lockbit3.0勒索病毒, .DevicData勒索病毒.blackbit勒索病毒等。
勒索攻击作为成熟的攻击手段,很多勒索家族已经形成了一套完整的商业体系,并且分支了很多团伙组织,导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同,TellYouThePass勒索软件家族常常利用系统漏洞进行攻击;Phobos勒索软件家族通过RDP暴力破解进行勒索;Mallox勒索软件家族利用数据库及暴力破解进行加密,攻击手法极多防不胜防。
而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份,在其基础上加强公司安全人员意识。
如果您想了解有关勒索病毒的最新发展情况,或者需要获取相关帮助,请关注“solar专业应急响应团队”。
原文始发于微信公众号(solar专业应急响应团队):【文章转载】Veeam漏洞再度成为攻击焦点,Akira、Fog后,Frag勒索软件横空出世!
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论