Crédit : Creativan
Les chercheurs avertissent qu’un groupe de cybercriminalité financièrement déterminé appelé FIN7 est compromettant les serveurs Veeam Backup Replication et libérant des logiciels malveillants sur ceux-ci.
On ne sait pas encore comment les agresseurs s’introduisent dans les serveurs, mais il est possible qu’ils profitent d’une vulnérabilité corrigée dans l’option populaire de réplication des informations d’entreprise le mois dernier.
Les chercheurs de la société de cybersécurité WithSecure ont examiné jusqu’à présent deux de ces compromis, datant de fin mars, mais ils pensent qu’ils font très probablement partie d’une campagne plus large. L’activité de post-exploitation a consisté à mettre en place la détermination, la reconnaissance système et réseau, l’extraction des identifiants et le déplacement latéral.
Outils et techniques utilisés conformément à l’activité passée de FIN7
FIN7 ou Carbon Spider est un groupe de cybercriminalité qui est en activité depuis au moins 2013 et a été associé au Carbanak famille de logiciels malveillants.
Le groupe était connu à ses débuts pour avoir lancé des attaques de logiciels malveillants contre des organisations des secteurs de la vente au détail, de la restauration et de l’hôtellerie dans le but de voler des informations sur les cartes de paiement. Néanmoins, FIN7 s’est également étendu aux ransomwares, étant associé aux familles de ransomwares Darkside et BlackMatter, et plus récemment BlackCat/ALPHV.
Une analyse médico-légale sur les serveurs Veeam compromis a montré que la procédure SQL Server « sqlservr.exe » qui appartient à l’instance Veeam Backup a été utilisé pour exécuter un script shell batch, qui à son tour a téléchargé et exécuté un script PowerShell directement en mémoire. Ce script PowerShell était POWERTRASH, un chargeur de logiciels malveillants obscurci qui a été crédité à FIN7 dans le passé.
Ce chargeur basé sur PowerShell est créé pour décharger les charges utiles intégrées et les exécuter sur le système à l’aide d’une méthode connue sous le nom de PE réfléchissant injection. FIN7 a déjà été vu en train d’utiliser ce chargeur pour libérer le cheval de Troie Carbanak, la balise Cobalt Strike ou une porte dérobée appelée DICELOADER ou Lizar. Ce dernier a également été observé lors des récentes attaques contre les serveurs Veeam, établissant un autre lien avec FIN7.
La porte dérobée DICELOADER a permis aux agresseurs de déployer des scripts bash et des scripts PowerShell supplémentaires sur mesure. Quelques-uns des scripts utilisés étaient identiques à ceux utilisés par FIN7 dans d’autres attaques.
Par exemple, certains scripts collectaient des informations sur le système local, telles que les processus en cours d’exécution, les connexions réseau ouvertes, les ports d’écoute et la configuration IP. . Un autre script utilisait l’interface d’instrumentation Windows pour, à partir d’un autre emplacement, recueillir des informations sur d’autres systèmes du réseau. Un autre script qui fait partie de la boîte à outils de FIN7 a été utilisé pour fixer les adresses IP collectées aux hôtes régionaux qui ont identifié les systèmes informatiques sur le réseau.
Un script personnalisé appelé gup18.ps1 qui n’a pas Ce qui a été observé auparavant a été utilisé pour configurer un système de persistance afin que la porte dérobée DICELOADER démarre au redémarrage du système. L’exécution de la porte dérobée est accomplie via le chargement latéral de DLL sur un fichier exécutable appelé gup.exe qui fait partie d’une application authentique appelée Bloc-notes.
Les assaillants fournissent à la fois le gup.exe authentique avec son fichier de configuration et un bibliothèque personnalisée malveillante appelée libcurl.dll pour laquelle gup.exe est développé. Cette bibliothèque traduit ensuite la charge utile DICELOADER à partir d’un autre fichier et l’exécute.
Les assaillants ont également été vus en train d’exécuter des commandes spécifiques à Veeam. Ils ont utilisé des commandes SQL pour extraire des informations de la base de données de sauvegarde Veeam et un script personnalisé pour récupérer les mots de passe du serveur.
Exploitation possible de CVE-2023-27532
Bien que les chercheurs de WithSecure ne sachent pas exactement comment les serveurs ont été compromis, ils pensent que les ennemis ont utilisé une vulnérabilité identifiée comme CVE-2023-27532 qui a été couverte par Veeam le 7 mars. Le défaut permet à un utilisateur non authentifié de se connecter au serveur sur le port TCP 9401 pour extraire les informations d’identification enregistrées dans la base de données de configuration du serveur et éventuellement accéder au système hôte du serveur.
» Une preuve de concept (POC) a été ouvertement offerte quelques jours avant le projet, le 23 mars 2023 », ont déclaré les scientifiques de WithSecure. « Le POC contient les performances d’exécution des commandes à distance. L’exécution de la commande à distance, qui est réalisée via les commandes du shell SQL, produit la même chaîne d’exécution observée dans ce projet. »
Ceci est associé à la réalité que les serveurs utilisés avaient le port TCP 9401 exposé au web, exécutaient des versions vulnérables du logiciel lorsqu’ils ont été mis en danger et ont enregistré l’activité d’une adresse IP externe sur le port 9401 juste avant que les circonstances du serveur SQL n’évoquent les commandes shell nuisibles.
Certaines commandes d’activité et de shell ont également été enregistrés sur les serveurs quelques jours avant l’attaque malveillante, ce qui, selon les chercheurs, pourrait être le résultat d’une analyse automatique effectuée par les agresseurs pour déterminer les serveurs sensibles.
» Nous conseillons aux entreprises concernées de suivre les recommandations et les directives pour repérer et configurer correctement leurs serveurs de sauvegarde, comme indiqué dans KB4424 : CVE-2023-27532 « , ont déclaré les scientifiques de WithSecure. » Les détails de ce rapport ainsi que notre référentiel GitHub du CIO peuvent également aider les organisations à rechercher des signes de compromis. . «
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
