AkiraおよびFogランサムウェア攻撃で使用された後、Veeam Backup & Replication (VBR)セキュリティの重大な欠陥が、最近Fragランサムウェアを展開するために悪用されました。
Code Whiteのセキュリティ研究者であるFlorian Hauserは、この脆弱性(CVE-2024-40711として追跡されている)が、信頼されていないデータのデシリアライズの弱点に起因することを発見しました。
9月9日に CVE-2024-40711に関する技術分析を発表したwatchTowr Labsは、管理者が9月4日にVeeamによって発行されたセキュリティ・アップデートを適用するのに十分な時間を与えるために、概念実証のエクスプロイトの公開を9月15日まで延期しました。
また、Code Whiteは、「即座にランサムウェア・ギャングに悪用される可能性がある」という理由で、欠陥を公開した際に詳細を共有するのを遅らせました。
これらの遅延は、VeeamのVBRソフトウェアが、仮想、物理、クラウドマシンのバックアップ、リストア、レプリケーションのためのディザスタリカバリおよびデータ保護ソリューションとして多くの企業が使用しているため、企業のバックアップデータへの迅速なアクセスを求める脅威行為者にとって人気のあるターゲットであることに起因しています。
しかし、Sophos X-Ops のインシデント対応担当者は、 AkiraとFogランサムウェアの攻撃を遅らせる効果はほとんどないことを発見しました。脅威当事者は、盗んだ VPN ゲートウェイの認証情報とともに RCE の欠陥を悪用し、パッチが適用されていないインターネットに公開されたサーバーのローカル管理者グループとリモートデスクトップユーザグループに不正なアカウントを追加しました。
さらに最近、ソフォスは、同じ脅威活動クラスター (「STAC 5881」として追跡) が、侵害されたネットワーク上にFrag ランサムウェアを展開 させる攻撃において、CVE-2024-40711 のエクスプロイトを使用していることも発見しました。
Sophos X-Opsの主席脅威リサーチャーであるSean Gallagher氏は、「最近の事例で、MDRのアナリストは再びSTAC 5881に関連する手口を観測しましたが、今回は『Frag』と呼ばれる以前に文書化されていないランサムウェアの展開を観測しました。
「前回の事件と同様に、脅威者は侵害された VPN アプライアンスをアクセスに使用し、VEEAM の脆弱性を利用し、’point’ という名前の新しいアカウントを作成しました。しかし、今回のインシデントでは、’point2’アカウントも作成されました。
英国のサイバーセキュリティ企業Agger Labsは、最近の報告書の中で、最近浮上したFragランサムウェアの一団は、攻撃にLiving Off The Landバイナリ(LOLBins)を広範囲に使用していると述べている。
また、攻撃時にバックアップやストレージ・ソリューションのパッチ未適用の脆弱性や設定ミスを標的にする可能性が高いため、AkiraやFogのオペレーターと同様のプレイブックを持っています。
2023年3月、Veeamは、悪意のあるアクターがバックアップ・インフラを侵害する可能性のある、別の深刻度の高いVBR脆弱性(CVE-2023-27532)にパッチを適用しました。その数ヶ月後、CVE-2023-27532エクスプロイト(金銭的動機に基づくFIN7脅威グループに関連する攻撃で使用)が、米国の重要インフラ組織を標的としたキューバのランサムウェア攻撃で展開されました。
Veeamは、グローバル2,000リストの全企業の約74%を含む、世界中で55万以上の顧客が同社の製品を使用していると述べています。
Comments