В марте 2023 года уязвимость CVE-2023-27532 была обнародована и исправлена компанией Veeam для своего программного обеспечения Veeam Backup & Replication версий 12/11a и выше. Однако недавно специалисты из команды Group-IB по цифровой криминалистике обнаружили инцидент, связанный с этой уязвимостью.
Первоначальный доступе был получен через FortiGate SSL VPN, боковое перемещение через RDP, эксплуатации уязвимости CVE-2023-27532, использовании инструментов для обнаружения и сбора информации о сети, а также об отключении Windows Defender и развертывании вымогательского ПО.
Анализ инцидента показал, что злоумышленник использовал неактивную учетную запись для получения первоначального доступа через FortiGate Firewall SSL VPN. Затем он развернул постоянный бэкдор на отказоустойчивом сервере и перемещался через RDP. Злоумышленник пытался эксплуатировать уязвимость CVE-2023-27532, создавал несанкционированные учетные записи и использовал инструменты для обнаружения и сбора информации о сети. Защитник Windows Defender был отключен, а затем была развернута и запущена программа-вымогатель.
Indicators of Compromise
IPv4
- 149.28.106.252
- 149.28.99.61
- 45.76.232.205
- 77.238.245.11
IPv4 Port Combinations
- 77.238.245.11:30001
SHA1
- 107ec3a7ed7ad908774ad18e3e03d4b999d4690c
- 2c56e9beea9f0801e0110a7dc5549b4fa0661362
- 5e460a517f0579b831b09ec99ef158ac0dd3d4fa
- cb704d2e8df80fd3500a5b817966dc262d80ddb8
