پس از اینکه از یک آسیبپذیری امنیتی بحرانی در Veeam Backup & Replication (VBR) در حملات باجافزار Akira و Fog استفاده شد، اخیراً از این نقص برای پیادهسازی باجافزار Frag نیز بهرهبرداری شده است.
Florian Hauser، محقق امنیتی از شرکت Code White، یک ضعف امنیتی در نرمافزار Veeam Backup & Replication (VBR) شناسایی کرده که با کد CVE-2024-40711 ثبت شده است. این ضعف به دلیل deserialization دادههای غیرقابل اعتماد است. Deserialization فرآیندی است که طی آن دادهها از حالت ذخیرهشده به یک ساختار قابل استفاده در برنامه تبدیل میشوند. در این حالت، اگر دادهها قابل اعتماد نباشند، مهاجمان میتوانند از این نقص برای اجرای کد مخرب به صورت از راه دور بر روی سرورهای Veeam VBR سوءاستفاده کنند، بدون اینکه نیاز به احراز هویت داشته باشند.
آزمایشگاه watchTowr، که یک تحلیل فنی دربارهی آسیبپذیری CVE-2024-40711 را در تاریخ ۹ سپتامبر منتشر کرده بود، انتشار کد نمونهای برای اثبات مفهوم (proof-of-concept exploit) را تا ۱۵ سپتامبر به تعویق انداخت تا به مدیران سیستم فرصت کافی داده شود تا بهروزرسانیهای امنیتی که Veeam در ۴ سپتامبر ارائه کرده بود را اعمال کنند.
شرکت Code White تصمیم گرفت جزئیات بیشتری از این آسیبپذیری را بلافاصله منتشر نکند، زیرا این نگرانی وجود داشت که گروههای باجافزار بلافاصله از این ضعف برای انجام حملات مخرب استفاده کنند.
این تأخیرها به این دلیل انجام شد که نرمافزار VBR شرکت Veeam هدف محبوبی برای عاملان تهدید است که به دنبال دسترسی سریع به دادههای پشتیبان یک شرکت هستند، زیرا بسیاری از کسبوکارها از این نرمافزار به عنوان یک راهکار بازیابی فاجعه و حفاظت از داده استفاده میکنند تا ماشینهای مجازی، فیزیکی و ابری را پشتیبانگیری، بازیابی و تکرار کنند.
با این حال، تیم واکنش به رخدادهای Sophos X-Ops دریافت که این اقدام تأثیر بسیار کمی در تأخیر انداختن حملات باجافزارهای Akira و Fog داشته است. مهاجمان از این آسیبپذیری اجرای کد از راه دور (RCE) همراه با اعتبارنامههای سرقتشدهی دروازه VPN سوءاستفاده کردند تا حسابهای مخرب به گروههای Administrators و Remote Desktop Users روی سرورهایی که بهروزرسانی نشده و به اینترنت متصل بودند اضافه کنند.
تیم امنیتی Sophos متوجه شد گروهی از مهاجمان که با کد شناسایی STAC 5881 ردیابی میشوند، از آسیبپذیری CVE-2024-40711 برای انجام حملات به شبکههای هدف استفاده کردهاند. این حملات در نهایت منجر به نصب باجافزار Frag در شبکههای آسیبدیده شده است.
Sean Gallagher از تیم Sophos X-Ops توضیح میدهد که تحلیلگران MDR (که به تیمهای پاسخدهی به تهدیدات گفته میشود) در یک حمله اخیر، دوباره شیوهها و تاکتیکهای مربوط به گروه تهدیدی STAC 5881 را شناسایی کردند، اما این بار باجافزار جدیدی به نام Frag که قبلاً مستند نشده بود را در شبکههای آسیبدیده مشاهده کردند.
در حملهای که به آن اشاره شده، مهاجم همانند حملات قبلی از دستگاه VPN که دسترسی آن به خطر افتاده بود استفاده کرده، از آسیبپذیری نرمافزار Veeam بهرهبرداری کرده و حساب کاربری جدیدی به نام point ایجاد کرده است. با این حال، در این حادثه خاص، علاوه بر حساب point، حساب دیگری به نام point2 نیز ایجاد شده است.
گروه باجافزار Frag از تکنیکی به نام LOLBins استفاده میکند. این تکنیک شامل بهرهبرداری از برنامهها یا ابزارهای قانونی است که قبلاً روی سیستمهای آسیبدیده نصب شدهاند، به طوری که هکرها از این ابزارها برای انجام حملات خود استفاده میکنند. چون این برنامهها معمولاً به طور قانونی روی سیستمها وجود دارند، شناسایی فعالیتهای مخرب این گروه برای تیمهای امنیتی دشوار میشود.
گروههای مهاجم Frag مشابه گروههای باجافزار Akira و Fog عمل میکنند. این گروهها معمولاً در حملات خود به دنبال آسیبپذیریهایی هستند که هنوز وصله (پچ) نشدهاند یا پیکربندیهای نادرستی در سیستمهای پشتیبانگیری و ذخیرهسازی وجود دارند که میتوانند از آنها سوءاستفاده کنند.
در مارس ۲۰۲۳، شرکت Veeam یک آسیبپذیری امنیتی مهم در نرمافزار VBR را اصلاح کرد که میتوانست به مهاجمان امکان نفوذ به سیستمهای پشتیبانگیری را بدهد. چند ماه بعد، این آسیبپذیری مورد سوءاستفاده قرار گرفت و در حملات باجافزار Cuba علیه سازمانهای حساس و حیاتی در ایالات متحده مورد استفاده قرار گرفت. این حملات به گروه تهدید FIN7 نسبت داده میشود که هدف اصلی آنها منافع مالی است.
شرکت Veeam اعلام کرده که محصولات آن بیش از ۵۵۰,۰۰۰ مشتری در سراسر دنیا دارند و تقریباً ۷۴ درصد از شرکتهای فهرست Global 2,000 (که شامل ۲,۰۰۰ شرکت بزرگ و معتبر جهان است) از این محصولات استفاده میکنند.
