UNC4466 kimliği altında yeni bir ALPHV (aka BlackCat Ransomware) bulundu ve izlendi. Bu fidye yazılımı bağlı kuruluşu, CVE-2021-27876, CVE-2021-27877 ve CVE-2021-2787878’e karşı savunmasız olan Veritas Backup Exec Kurulumlarını kullanıyor. Ancak, bu CVE’ler yalnızca ilk erişim için kullanılır.
Ticari bir internet tarama aracı, Veritas Backup Exec kurulumlarından oluşan devasa bir 8500 kurulum buldu. Yama uygulanmamış sürümlerin sayısı hala önemli bir sayı olabilir.
ALPHV izinsiz girişleri genellikle geçmişte çalınan kimlik bilgilerinden geliyordu, ancak suçluların ortaya çıktığını belirten bilinen güvenlik açıklarını hedef almaktan kaynaklanıyordu.
BLACKMATTER ve DARKSIDE fidye yazılımı, Kasım 2021’de hizmet olarak fidye yazılımı olarak piyasaya sürülen ALPHV fidye yazılımının öncülleridir. Bazı fidye yazılımları, kritik altyapıdan kaçınmak için tasarlanmıştır, ancak ALPHV hala hassas endüstrileri hedeflemektedir.
CVE(ler)
| özgeçmiş | Satıcı/Proje | Ürün | Güvenlik Açığı Adı | Kataloğa Eklenme Tarihi | Kısa Açıklama | Aksiyon | Bitiş tarihi |
| CVE-2021-27876 | Veritas | Yedekleme Yürütme Aracısı | Veritas Backup Exec Agent Dosya Erişimi Güvenlik Açığı | 2023-04-07 | Veritas Backup Exec (BE) Agent, bir saldırganın BE Agent makinesindeki dosyalara erişmek için bir veri yönetimi protokolü komutundaki giriş parametrelerini özel olarak oluşturmasına izin verebilecek bir dosya erişim güvenlik açığı içerir. | Satıcı talimatlarına göre güncellemeleri uygulayın. | 2023-04-28 |
| CVE-2021-27877 | Veritas | Yedekleme Yürütme Aracısı | Veritas Backup Exec Agent Uygun Olmayan Kimlik Doğrulama Güvenlik Açığı | 2023-04-07 | Veritas Backup Exec (BE) Aracısı, bir saldırganın SHA kimlik doğrulama şeması aracılığıyla BE Aracısına yetkisiz erişimine izin verebilecek uygunsuz bir kimlik doğrulama güvenlik açığı içerir. | Satıcı talimatlarına göre güncellemeleri uygulayın. | 2023-04-28 |
| CVE-2021-27878 | Veritas | Yedekleme Yürütme Aracısı | Veritas Backup Exec Agent Komut Yürütme Güvenlik Açığı | 2023-04-07 | Veritas Backup Exec (BE) Agent, bir saldırganın BE Agent makinesinde bir komut yürütmek için bir veri yönetimi protokolü komutu kullanmasına izin verebilecek bir komut yürütme güvenlik açığı içerir. | Satıcı talimatlarına göre güncellemeleri uygulayın. | 2023-04-28 |
Zaman çizelgesi
- Mart 2021 – Veritas, Veritas Backup Exec 16.x, 20.x ve 21.x için tavsiyeler yayınladı
- 23 Eylül 2022 – Metasploit, Veritas Backup Exec sürümlerinden yararlanmak için modülü yayınladı.
- 22 Ekim 2022 – Mandiant tarafından gözlemlenen Veritas Güvenlik Açıklarından yararlanılıyor.
ALPHV’nin Saldırı Aşamaları
İlk Uzlaşma ve Dayanak Oluşturma
UNC4466, Veritas Backup Exec çalışırken internete bakan Windows sunucularından yararlanmak için exploit/multi/veritas/beagent_sha_auth_rce Metasploit modülünü kullandı. Kalan izinsiz girişin bir parçası olarak sistemlere kalıcı erişimi sağlamak için Metasploit kalıcılık modülü kullanıldı.
İç Keşif
UNC4466, Veritas Backup Exec sunucusuna eriştiğinde, Famatech’in Gelişmiş IP tarayıcısını web sitesinden indirmek için internet explorer’ı kullandılar. Bu araç, hem bireysel hem de IP adresleri, bağlantı noktaları, ana bilgisayar adları ve sistem donanım bilgilerini tarayabilir.
UNC4466 ayrıca kurbanın ortamının ağ, ana bilgisayar ve hesap bilgilerini toplamak için ADRecon’u kullanarak bir Active Directory Recon yaptı.
Ayrıcalıklı bir etki alanı hesabı ile ADRecon, AD ortamı, Güvenler, siteler, alt ağlar, parola ilkeleri ve bilgisayar ve kullanıcı hesabı listeleri hakkında çeşitli raporlar oluşturacaktır.
Diğer bir avantaj ise bu raporların CSV, XML, JSON ve HTML gibi gerekli formatlarda indirilebilmesidir.
Giriş Aracı Transferi
Ayrıcalıklı erişim elde ettikten sonra LAZAGNE, LIGOLO, WINSW, RCLONE ve ALPHV fidye yazılımı şifreleyici gibi ek araçları aktardılar.
C&C (Komuta ve Kontrol)
Bu sistemler arasında iletişim sağlamak için UNC4466, kurban ağ ile SOCK5 tünellemeyi kullandı. LIGOLO ve REVSOCKS gibi araçlar, tüm ağ savunmalarından veya diğer izinsiz giriş önleme sistemlerinden kaçınmak için kullanılır.
SOCK5 tünelleme, REVSOCKS ve LIGOLO tarafından desteklenen “C:\ProgramData” hazırlama dizinine çeşitli kaynakları indirmek için BITS Transfer’i kullandılar.
Ayrıcalıkları Yükselt
Kimlik bilgilerini boşaltmak için, tehdit aktörü kimlik bilgilerini açık metin olarak toplamak için Mimikatz, LaZagne ve Nanodump gibi araçlar kullandı.
Raporlara göre, Kasım 2022’de UNC4466, Yerel Güvenlik Yetkilisi Sunucu Hizmetini (LSASS) yöneten ve kimlik bilgilerini açık metin olarak toplayan ve bunu “adlı bir dosyada saklayan MIMIKATZ Güvenlik Desteği Sağlayıcı Enjeksiyon Modülünü (MISC::MemSSP) kullandı.C:\Windows\System32\mimilsa.log”.
Görevi Tamamla
ALPHV, UNC4466’nın dağıttığı pas programlama tabanlı bir fidye yazılımıdır. Grup ayrıca, güvenlik yazılımını devre dışı bırakma, ALPHV şifreleyiciyi indirme ve yürütme gibi kötü amaçlı eylemler gerçekleştiren varsayılan etki alanı politikasını da değiştirdi.
Maruziyet
Belirtildiği gibi, ticari bir internet tarama aracı, Veritas Backup Exec hizmetini çalıştıran yaklaşık 8500 IP adresi buldu (Symantec/Veritas Backup Exec ndmp) 10000, 9000 ve 10001 bağlantı noktalarında.
Ancak, güvenlik açığı bulunan sürümleri çalıştıran sistemler bu taramada tanımlanmadı; tehdit aktörleri potansiyel olarak bundan yararlanabilir.
Tespit etme
21.2’den önceki Veritas Backup Exec sürümleriyle çalışan sistemler için, internete bakan her sisteme yüksek öncelik verilmelidir.
İstismar edilen sistemler, Backup Exec günlük dosyasındaki belirli günlükleri görebilir. Bu olayların algılanması ve uyarılması için, dosyanın SIEM’e iletilmesi ve belirli olaylar için bir uyarı oluşturulması önerilir.
[nnnn] YYYY-aa-ggTHS:DD:SS.sss [ndmp\ndmpsrvr] + ndmpd.cpp (nnn):
[nnnn] YYYY-aa-ggTHS:DD:SS.sss [ndmp\ndmpsrvr] | 1. seans başladı
[nnnn] YYYY-aa-ggTHS:DD:SS.sss [ndmp\ndmpsrvr] – sslOpen() : Açılış SSL’si: 0x00000
[nnnn] YYYY-aa-ggTHS:DD:SS.sss [ndmp\ndmpsrvr] – sslOpen(): sertifika bilgisi = 0x00000; sslConn = 0x00000
[nnnn] YYYY-aa-ggTHS:DD:SS.sss [ndmp\ndmpcomm] – ndmpRun: Kontrol bağlantısı kabul edildi : uç noktalar arasında kurulan bağlantı [Server IP]:10000 ve [Remote IP]:[remote port]
Bu rapor hakkında daha fazla bilgi için Mandiant, MITRE Çerçevesinin eksiksiz bir analizini ve diğer teknik ayrıntıları sağladı.
Uzlaşma Göstergeleri
| da202cc4b3679fdb47003d603a93c90d | MIMIKATZ |
| 5fe66b2835511f9d4d3703b6c639b866 | NANODUMP |
| 1f437347917f0a4ced71fb7df53b1a05 | Bu GOLO |
| b41dc7bef82ef384bc884973f3d0e8ca | REVSOCKS |
| c590a84b8c72cf18f35ae166f815c9df | Sysinternals PSEXEC |
| 24b0f58f014bd259b57f346fb5aed2ea | WINSW |
| e31270e4a6f215f45abad65916da9db4 | REVSOCKS |
| 4fdabe571b66ceec3448939bfb3ffcd1 | Gelişmiş Bağlantı Noktası Tarayıcısı |
| 68d3bf2c363144ec6874ab360fdda00a | lazanya |
| ee6e0cb1b3b7601696e9a05ce66e7f37 | ALPHV |
| f66e1d717b54b95cf32154b770e10ba4 | METASPLOIT |
| 17424a22f01b7b996810ba1274f7b8e9 | METASPLOIT |
| 45[.]61[.]138[.]109 | |
| 185[.]141[.]62[.]123 | |
| 5[.]199[.]169[.]209 | |
| 45[.]61[.]138[.]109:45815 | |
| 45[.]61[.]138[.]109:43937 | |
| 45[.]61[.]138[.]109:36931 | |
| 5[.]199[.]169[.]209:31600 | |
| 45[.]61[.]138[.]109:41703 | |
| 185[.]99[.]135[.]115:39839 | |
| 185[.]99[.]135[.]115:41773 | |
| 45[.]61[.]138[.]109:33971 | |
| 185[.]141[.]62[.]123:50810 | |
| 185[.]99[.]135[.]115:49196 | |
| hxxp://185[.]141[.]62[.]123:10228/güncelleme[.]exe |
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? – All-in-One Patch Manager Plus’ı deneyin
İlgili Okuma: