ALPHV/BlackCat勒索软件联盟针对Veritas Backup漏洞

发现一个ALPHV/BlackCat勒索软件分支机构利用Veritas Backup解决方案中的漏洞。

据观察，追踪为UNC4466的ALPHV/BlackCat勒索软件团伙的一个分支机构利用Veritas Backup解决方案中的三个漏洞来获得对目标网络的初始访问权限。

与其他ALPHV分支机构不同，UNC4466不依赖被盗凭据来初始访问受害环境。Mandiant研究人员于2022年10月22日首次观察到该分支机构针对Veritas问题进行攻击。以下是勒索软件团伙分支机构利用的漏洞列表：

• CVE-2021-27876：客户端和代理之间的通信需要成功的身份验证，这通常通过安全的TLS通信完成。但是，由于 SHA 身份验证方案中的漏洞，攻击者能够获得未经授权的访问并完成身份验证过程。随后，客户端可以在经过身份验证的连接上执行数据管理协议命令。通过在其中一个命令中使用特制的输入参数，攻击者可以使用系统权限访问系统上的任意文件。（CVSS分数：8.1）。
• CVE-2021-27877：在21.2之前的Veritas Backup Exec中发现了一个问题。它支持多种身份验证方案：SHA 身份验证是其中之一。该身份验证方案不再用于当前版本的产品，但尚未被禁用。攻击者可以远程利用此方案获得对代理的未授权访问并执行特权命令。（CVSS评分：8.2）。
• CVE-2021-27878：在21.2之前的Veritas Backup Exec中发现了一个问题。客户端和代理之间的通信需要成功的身份验证，这通常是通过安全的TLS通信完成的。但是，由于SHA身份验证方案中的漏洞，攻击者能够获得未经授权的访问并完成身份验证过程。随后，客户端可以在经过身份验证的连接上执行数据管理协议命令。攻击者可以使用这些命令之一，使用系统权限在系统上执行任意命令。（CVSS评分：8.8）

这三个缺陷已在2021年3月发布的21.2版中得到解决，但许多面向公众的端点尚未更新。研究人员确定了目前暴露在互联网上的8,500多个Veritas Backup Exec实例安装，其中一些可能仍然容易受到攻击。

通过使用像METASPLOIT这样的渗透测试框架，可以很容易地利用这些漏洞，该框架自2022年9月起就有一个针对这些问题的特定模块。

“2022年底，UNC4466获得了对暴露于互联网的Windows服务器的访问权限，该服务器使用Metasploit模块exploit/multi/veritas/beagent_sha_auth_rce运行 Veritas Backup Exec 21.0版。不久之后，调用了Metasploit持久性模块，以在这次入侵的其余部分维持对系统的持久访问。”

一旦获得对目标网络的访问权限，附属公司便使用合法的Famatech高级IP扫描器和ADRecon实用程序作为内部侦察的一部分。

然后威胁行为者使用后台智能传输服务(BITS)下载其他工具，如LAZAGNE、LIGOLO、WINSW、RCLONE，最后是ALPHV勒索软件加密器。

UNC4466组依靠SOCKS5隧道与受感染的系统进行通信。威胁参与者使用两个独立的工具来执行此技术，即LIGOLO和REVSOCKS。

该小组使用多种凭证访问工具（包括Mimikatz、LaZagne和Nanodump）收集了明文凭证和凭证材料。

威胁行为者通过清除事件日志并使用内置的Set-MpPrefernce cmdlet禁用Microsoft Defender的实时监控功能来逃避检测。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5541.html