ALPHV ransomware exploits Veritas Backup Exec bugs for initial access

ALPHV/BlackCat ランサムウェア アフィリエイトが、ターゲット ネットワークへの初期アクセスのために Veritas Backup 製品に影響を与える 3 つの脆弱性を悪用していることが確認されました。

ALPHV ランサムウェア オペレーションは2021 年 12 月に出現し、法執行機関の圧力を逃れるために突然シャットダウンした Darkside および Blackmatter プログラムの元メンバーによって実行されていると考えられています。

Mandiant は、ALPHV アフィリエイトを「UNC4466」として追跡しており、その方法は、盗まれた資格情報に依存する典型的な侵入とは異なるものであると指摘しています。

悪用された欠陥

Mandiant は、2022 年 10 月 22 日に Veritas の脆弱性が悪用される最初の事例を実際に観察したと報告しています。

  • CVE-2021-27876 : SHA 認証スキームのエラーによって引き起こされる任意のファイル アクセスの欠陥により、リモートの攻撃者が脆弱なエンドポイントへの不正アクセスを取得できるようになります。 (CVSSスコア:8.1)
  • CVE-2021-27877 : SHA 認証を介した BE エージェントへのリモートの不正アクセスと特権コマンドの実行。 (CVSSスコア:8.2)
  • CVE-2021-27878 : SHA 認証スキームのエラーの結果として生じる任意のコマンド実行の欠陥により、リモートの攻撃者が脆弱なエンドポイントへの不正アクセスを取得できるようになります。 (CVSSスコア:8.8)

3 つの欠陥はすべて、Veritas Backup ソフトウェアに影響を与えます。ベンダーは2021 年 3 月にそれらを開示し、バージョン 21.2 で修正をリリースしました。しかし、それから 2 年以上が経過したにもかかわらず、多くのエンドポイントは安全なバージョンに更新されていないため脆弱なままです。

Mandiant によると、商用のスキャン サービスにより、パブリック Web 上に、デフォルト ポート 10000 およびポート 9000 と 10001 で「Symantec/Veritas Backup Exec ndmp」サービスをアドバタイズする 8,500 を超える IP アドレスが存在することが示されたという。

「この検索結果は脆弱なシステムを直接特定するものではありませんが、アプリケーションのバージョンを特定できなかったため、攻撃者によって調査される可能性のあるインターネットに公開されたインスタンスが蔓延していることを示しています」 – Mandiant

これらの脆弱性を悪用する Metasploit モジュールが 2022 年 9 月 23 日に一般公開されました。このコードにより、攻撃者はセッションを作成し、侵害されたエンドポイントと対話できます。

Mandiant によると、UNC4466 は特定のモジュールが利用可能になってから 1 か月後に使用を開始しました。

攻撃の詳細

Mandiant の観察によると、UNC4466 は、公開されている Metasploit モジュールを使用して、Veritas Backup Exec を実行しているインターネットに公開された Windows サーバーを侵害し、ホストへの永続的なアクセスを維持します。

最初の侵害の後、攻撃者は Advanced IP Scanner と ADRecon ユーティリティを使用して、被害者の環境に関する情報を収集しました。

次に、彼らは LAZAGNE、LIGOLO、WINSW、RCLONE などの追加ツールをホストにダウンロードし、最終的にはバックグラウンド インテリジェント転送サービス (BITS) を介して ALPHV ランサムウェア エンクリプターをダウンロードしました。

脅威アクターは、SOCKS5 トンネリングを使用してコマンド アンド コントロール サーバー (C2) と通信しました。

研究者は、UNC4466 が BITS 転送を使用して SOCKS5 トンネリング ツールをダウンロードし、既定のドメイン ポリシーに即時タスクを追加し、セキュリティ ソフトウェアを無効にし、暗号化プログラムを実行することで、ランサムウェア ペイロードを展開したと説明しています。

特権をエスカレートするために、UNC4466 は Mimikatz、LaZagne、および Nanodump を利用して、有効なユーザー資格情報を盗みます。

最後に、攻撃者はイベント ログをクリアし、Microsoft Defender のリアルタイム監視機能を無効にすることで、検出を回避します。

Mandiant のレポートは、 ALPHV ペイロードがシステムで実行される前に、防御側が UNC4466 攻撃をタイムリーに検出し、軽減するために従うことができるガイダンスを提供します。