Bir ALPHV/BlackCat fidye yazılımı bağlı kuruluşunun, hedef ağa ilk erişim için Veritas Backup ürününü etkileyen üç güvenlik açığından yararlandığı gözlemlendi.
ALPHV fidye yazılımı operasyonu Aralık 2021’de ortaya çıktı ve kolluk kuvvetlerinin baskısından kaçmak için aniden kapanan Darkside ve Blackmatter programlarının eski üyeleri tarafından yürütüldüğü düşünülüyor.
Mandiant, ALPHV bağlı kuruluşunu “UNC4466” olarak izler ve yöntemin, çalınan kimlik bilgilerine dayanan tipik izinsiz girişten bir sapma olduğunu belirtir.
İstismar edilen kusurlar
Mandiant, 22 Ekim 2022’de Veritas kusurlarından yararlanmanın ilk vakalarını vahşi ortamda gözlemlediğini bildirdi. UNC4466 tarafından hedeflenen yüksek önem dereceli kusurlar şunlardır:
- CVE-2021-27876: SHA kimlik doğrulama şemasındaki bir hatanın neden olduğu ve uzaktaki bir saldırganın güvenlik açığı bulunan uç noktalara yetkisiz erişim elde etmesine olanak tanıyan keyfi dosya erişim kusuru. (CVSS puanı: 8.1)
- CVE-2021-27877: SHA kimlik doğrulaması aracılığıyla BE Aracısına uzaktan yetkisiz erişim ve ayrıcalıklı komut yürütme. (CVSS puanı: 8.2)
- CVE-2021-27878: Uzaktaki bir saldırganın güvenlik açığı bulunan uç noktalara yetkisiz erişim kazanmasına izin veren, SHA kimlik doğrulama şemasındaki bir hatanın keyfi komut yürütme hatası sonucu. (CVSS puanı: 8.8)
Her üç kusur da Veritas Backup yazılımını etkiler. Satıcı bunları Mart 2021’de açıkladı ve 21.2 sürümüyle bir düzeltme yayınladı. Ancak, o zamandan bu yana iki yıldan fazla zaman geçmesine rağmen, güvenli bir sürüme güncellenmedikleri için birçok uç nokta savunmasız kalmaya devam ediyor.
Mandiant, ticari bir tarama hizmetinin, genel web üzerinde varsayılan 10000 bağlantı noktası ve 9000 ve 10001 bağlantı noktalarında “Symantec/Veritas Backup Exec ndmp” hizmetini tanıtan 8.500’den fazla IP adresi olduğunu gösterdiğini söylüyor.
“Uygulama sürümleri tanımlanamadığı için bu arama sonucu savunmasız sistemleri doğrudan tanımlamasa da, saldırganlar tarafından potansiyel olarak incelenebilecek İnternet’e açık örneklerin yaygınlığını gösteriyor” – Mandiant
Bu güvenlik açıklarından yararlanmak için bir Metasploit modülü 23 Eylül 2022’de halka yayınlandı. Kod, saldırganların bir oturum oluşturmasına ve ihlal edilen uç noktalarla etkileşime girmesine olanak tanır.
Mandiant’a göre UNC4466, söz konusu modülü kullanıma sunulduktan bir ay sonra kullanmaya başladı.
Saldırı ayrıntıları
Mandiant’ın gözlemlerine göre UNC4466, herkese açık Metasploit modülünü kullanarak Veritas Backup Exec çalıştıran internete açık bir Windows sunucusunu tehlikeye atar ve ana bilgisayara kalıcı erişimi sürdürür.
İlk güvenlik ihlalinden sonra, tehdit aktörü kurbanın ortamı hakkında bilgi toplamak için Gelişmiş IP Tarayıcı ve ADRecon yardımcı programlarını kullandı.
Ardından, ana bilgisayara LAZAGNE, LIGOLO, WINSW, RCLONE gibi ek araçlar ve son olarak Arka Plan Akıllı Aktarım Hizmeti (BITS) aracılığıyla ALPHV fidye yazılımı şifreleyici indirdiler.
Tehdit aktörü, komuta ve kontrol sunucusu (C2) ile iletişim kurmak için SOCKS5 tünellemesini kullandı.
Araştırmacılar, UNC4466’nın SOCKS5 tünel oluşturma araçlarını indirmek için BITS aktarımlarını kullandığını ve varsayılan etki alanı ilkesine acil görevler ekleyerek, güvenlik yazılımını devre dışı bırakarak ve şifreleyiciyi çalıştırarak fidye yazılımı yükünü devreye soktuğunu açıklıyor.
UNC4466, ayrıcalıkları artırmak için Mimikatz, LaZagne ve Nanodump’tan yararlanarak geçerli kullanıcı kimlik bilgilerini çalar.
Son olarak, tehdit aktörü, olay günlüklerini temizleyerek ve Microsoft Defender’ın gerçek zamanlı izleme özelliğini devre dışı bırakarak tespit edilmekten kurtulur.
Mandiant’ın raporu, savunucuların UNC4466 saldırılarını zamanında tespit etmek ve sistemlerinde ALPHV yükü yürütülmeden önce bunları hafifletmek için takip edebilecekleri bir rehberlik sağlıyor.