Компания Mandiant обнаружила новый филиал программы-выкупа ALPHV (она же BlackCat ransomware), отслеживаемый как UNC4466, нацеленный на открытые установки Veritas Backup Exec, уязвимые к CVE-2021-27876, CVE-2021-27877 и CVE-2021-27878, для первоначального доступа к средам жертв.
Коммерческая служба интернет-сканирования выявила более 8500 установок Veritas Backup Exec, которые в настоящее время открыты для доступа в интернет, некоторые из них все еще могут быть не исправлены и уязвимы. Предыдущие вторжения ALPHV, расследованные компанией Mandiant, в основном происходили с использованием украденных учетных данных, что свидетельствует о переходе к оппортунистическому использованию известных уязвимостей. В этой статье блога рассматривается жизненный цикл атаки UNC4466, индикаторы и возможности обнаружения.
ALPHV появился в ноябре 2021 года как ransomware-as-a-service, который, по мнению некоторых исследователей, является преемником BLACKMATTER и DARKSIDE ransomware. Хотя некоторые операторы вымогательского ПО приняли правила, позволяющие избежать воздействия на объекты критической инфраструктуры и здравоохранения, ALPHV продолжает атаковать эти чувствительные отрасли.
- В марте 2021 года компания Veritas опубликовала сообщение о трех критических уязвимостях в Veritas Backup Exec 16.x, 20.x и 21.x.
- 23 сентября 2022 года был выпущен модуль METASPLOIT, который использует эти уязвимости и создает сессию, которую агент угрозы может использовать для взаимодействия с системой жертвы.
- 22 октября 2022 года компания Mandiant впервые наблюдала эксплуатацию уязвимостей Veritas в дикой природе.
Indicators of Compromise
IPv4
- 185.141.62.123
- 45.61.138.109
- 5.199.169.209
IPv4 Port Combinations
- 185.141.62.123:50810
- 185.99.135.115:39839
- 185.99.135.115:41773
- 185.99.135.115:49196
- 45.61.138.109:33971
- 45.61.138.109:36931
- 45.61.138.109:41703
- 45.61.138.109:43937
- 45.61.138.109:45815
- 5.199.169.209:31600
URLs
- http://185.141.62.123:10228/update.exe
MD5
- 17424a22f01b7b996810ba1274f7b8e9
- 1f437347917f0a4ced71fb7df53b1a05
- 24b0f58f014bd259b57f346fb5aed2ea
- 4fdabe571b66ceec3448939bfb3ffcd1
- 5fe66b2835511f9d4d3703b6c639b866
- 68d3bf2c363144ec6874ab360fdda00a
- b41dc7bef82ef384bc884973f3d0e8ca
- c590a84b8c72cf18f35ae166f815c9df
- da202cc4b3679fdb47003d603a93c90d
- e31270e4a6f215f45abad65916da9db4
- ee6e0cb1b3b7601696e9a05ce66e7f37
- f66e1d717b54b95cf32154b770e10ba4