Pesquisadores de segurança lançaram um alerta segundo o qual um grupo de cibercriminosos com motivação financeira, conhecido como FIN7, está comprometendo servidores Veeam Backup Replication e implantando malware. Ainda não está claro como os invasores estão invadindo os servidores, mas uma possibilidade levantada pelos pesquisadores é que o grupo esteja aproveitando uma vulnerabilidade corrigida na popular solução de replicação de dados corporativos no mês passado.
Os pesquisadores são da empresa de segurança cibernética WithSecure e investigaram dois desses comprometimentos até agora, datados do final de março. Mas eles acreditam que a ação provavelmente é parte de uma campanha maior. A atividade pós-exploração incluiu a configuração de persistência, sistema e reconhecimento de rede, extração de credenciais e movimentação lateral.
O FIN7 ou Carbon Spider é um grupo de cibercrimes que está em operação desde pelo menos 2013 e está associado à família de malware Carbanak. Há a desconfiança de que o grupo seja o desenvolvedor dos ransomwares Darkside e BlackMatter.
O grupo era conhecido em seus primeiros anos por lançar ataques contra organizações dos setores de varejo, restaurantes e hospitalidade com o objetivo de roubar informações de cartão de crédito. No entanto, o FIN7 também se expandiu para atuar como ransomware, sendo associado mais recentemente ao BlackCat/ALPHV.
Uma análise forense nos servidores da Veeam comprometidos mostrou que o processo do SQL Server “sqlservr.exe” relacionado à instância do Veeam Backup foi usado para executar um shell script em lote, que por sua vez baixou e executou um script PowerShell diretamente na memória. Esse script do PowerShell era o POWERTRASH, um carregador de malware ofuscado que foi atribuído ao FIN7 no passado.
Veja isso
Ransomware ALPHV explora bugs do Veritas Backup ExeC
72% dos ataques de ransomware destroem o backup
Este carregador baseado em PowerShell foi projetado para descompactar cargas incorporadas e executá-las no sistema usando uma técnica conhecida como injeção reflexiva de PE. O FIN7 foi visto anteriormente usando este carregador para implantar o trojan Carbanak, o sinalizador Cobalt Strike ou uma backdoor chamada Diceloader ou Lizar. A backdoor permitiu que invasores implementassem scripts bash personalizados adicionais e scripts do PowerShell. Alguns dos scripts usados eram idênticos aos usados pelo FIN7 em outros ataques.
Os invasores também foram vistos executando comandos específicos da Veeam. Por exemplo, eles usaram comandos SQL para roubar informações do banco de dados de backup da Veeam e um script personalizado para recuperar senhas do servidor.
Embora os pesquisadores da WithSecure não tenham certeza de como os servidores foram comprometidos, eles suspeitam que os invasores exploraram uma vulnerabilidade rastreada como CVE-2023-27532 corrigida pela Veeam em 7 de março — a porta TCP 9401 para extrair as credenciais armazenadas no banco de dados de configuração do servidor e potencialmente obter acesso ao sistema host do servidor.