حملات سایبري علیه‌ سرورهاي Veeam Backup

براساس اخبار منتشر شده، سرورهای‌ Veeam Backup توسط‌ حداقل‌ یک‌ گروه هکری‌ که‌ گفته‌ می‌شود با گروه های‌ باج افزاری‌ شناخته‌ شده همکاری‌ دارد، مورد هدف قرار گرفته‌اند. در این‌ حملات که‌ از تاریخ ‌٢8 مارس سال جاری‌ میلادی‌ تحت‌ رصد بوده اند، فعالیت‌ها و ابزارهایی‌ مورد استفاده قرار گرفته‌اند که‌ تداعی‌گر حملات FIN7 می‌باشند؛ این‌ حملات تنها یک‌ هفته‌ پس‌ از انتشار یک‌ اکسپلویت‌ برای‌ آسیب‌پذیری‌ بحرانی‌ در نرم افزار Veeam Backup and Replication صورت می‌پذیرند. این‌ آسیب‌ پذیری‌ که‌ شناسه‌ CVE-2023-27532 به‌ آن اختصاص یافته‌ است‌، منجر به‌ افشاء اطلاعات ذخیره شده مربوط به‌ حساب های‌ کاربری‌ نرم افزار یاد شده می‌ گردد که‌ این‌ موضوع در نهایت‌ منجر به‌ دسترسی‌ افراد غیرمجاز به‌ زیرساخت‌ و هاست‌ های‌ مورد استفاده در زیرساخت‌ تهیه‌ نسخه‌ پشتیبان می‌گردد. شرکت‌ Veeam ادعا نموده که‌ در تاریخ‌ ٧ مارس سال جاری‌، آسیب‌پذیری‌ یاد شده را مرتفع‌ نموده و دستورالعمل‌های‌ لازم در این‌ خصوص را صادر کرده است‌.

در تاریخ‌ ٢٣ مارس، یکی‌ از شرکت‌ های‌ فعال در زمینه‌ تست‌ نفوذ، اکسپلویتی‌ را برای‌ آسیب‌پذیری‌ یاد شده منتشر نمود و طی‌ آن نحوه سوءاستفاده از یک‌ API Endpoint برای‌ استخراج اطلاعات حساب کاربری‌ در قالب‌ متن‌ رمزنگاری‌ نشده یا اصطلاحاً Plain Text را تشریح‌ نمود. بر این‌ اساس، فرد مهاجم‌ قادر است‌ با بهره برداری‌ از آسیب‌پذیری‌ مورد بحث‌ و با در اختیار داشتن‌ بالاترین‌ سطح‌ اختیارات، به‌ اجرای‌ کد به‌ صورت از راه دور بپردازد. در همین‌ رابطه‌ اعلام شده است‌ که‌ تعداد ٧٥٠٠ هاست‌ مربوط به‌ نرم افزار VBR که‌ به‌ اینترنت‌ متصل‌ هستند، در معرض خطر قرار دارند؛ به‌ عبارت دیگر، سرورهایی‌ که‌ به‌ صورت عمومی‌ و از طریق‌ وب در دسترس هستند، در معرض حملات قرار دارند. روشها و تاکتیک‌های‌ مورد استفاده در این‌ حملات، مشابه‌ با حملات قبلی‌ FIN7 بوده است‌. با توجه‌ به‌ زمانبندی‌ حملات، پورت باز TCP با شماره ٩٤٠١ بر روی‌ سرورهای‌ هدف و هاست‌هایی‌ که‌ از نسخه‌ آسیب‌پذیر نرم افزار VBR استفاده می‌ کنند، محققان بر این‌ باور هستند که‌ فرد مهاجم‌ احتمالاً از آسیب‌پذیری‌ با شناسه‌ CVE-2023-27532 برای‌ اخذ دسترسی‌ و اجرای‌ کد مخرب، بهره برداری‌ نموده است‌. محققان در طی‌ بررسی‌های‌ خود متوجه‌ هشدارهایی‌ مبنی‌ بر اینکه‌ فرآیندی‌ به‌ نام sqlservr.exe اقدام به‌ ایجاد فرآیند cmd.exe نموده و علاوه بر این‌، اقدام به‌ دانلود اسکریپت‌ های‌ پاورشل‌ نموده است‌، شده بودند. با بررسی‌ دقیق‌تر، مشخص‌ شد که‌ فرد مهاجم‌ در ابتدا یک‌ اسکریپت‌ پاورشل‌ به‌ نام PowerTrash را اجرا کرده که‌ در حملات قبلی7 ‌FIN مشاهده شده بود. این‌ اسکریپت‌ شامل‌ Payload مربوطه‌ به‌ DiceLoader /Lizar Backdoor که‌ برای‌ اجرا بر روی‌ سیستم‌ آلوده استفاده می‌شود، می‌باشد. لازم به‌ ذکر است‌ DiceLoader تحت‌ عنوان Tirion نیز شناخته‌ شده و به‌ گروه FIN7 نسبت‌ داده شده است‌.

 علاوه بر این‌، گفته‌ شده در حملات اخیر این‌ گروه، از Backdoorهای‌ متفاوتی‌ که‌ محققان از آن تحت‌ عنوان PowerPlant یاد کرده اند استفاده شده است‌. نام این‌ اسکریپت‌ها  icsnd16_64refl.ps1، icbt11801_64refl.ps1 می‌باشد که‌ در حملات قبلی‌ این‌ گروه نیز مورد استفاده قرار گرفته‌ بودند. علاوه بر این‌، گفته‌ شده که‌ یک‌ اسکریپت‌ دیگر به‌ نام host_ip.ps1 برای‌ اصطلاحاً Resolve یا تبدیل‌ کردن آدرسIP به‌ Hostname استفاده می‌شود و در کنار آن، یک‌ اسکریپت‌ دیگر برای‌ طی‌ کردن مرحله‌ شناسایی‌ یا Reconnaissance (یکی‌ از مراحل‌ فاز Lateral Movement (تکنیک‌هایی‌ که‌ فرد مهاجم‌ پس‌ از اخذ دسترسی‌ ابتدایی‌ به‌ شبکه‌ هدف، از آنها برای‌ نفوذ به‌ عمق‌ شبکه‌ استفاده می‌نماید) بهره برداری‌ می‌شود که‌ به‌ اعتقاد محققان امنیتی‌، این‌ اسکریپت‌ به‌ عنوان بخشی‌ از کیت‌ ابزار تیم‌ هکری‌ FIN7 عمل‌ می‌کند؛ محققان اعلام داشتند که‌ طی‌ بررسی‌های‌ به‌ عمل‌ آمده، موفق‌ به‌ کشف‌ هم‌ پوشانی‌های‌ فنی‌ حملات جدید با حملات قدیمی‌ FIN7 شده اند که‌ مشتمل‌ بر روال نامگذاری‌ و الگوهای‌ اجرای‌ خط‌ فرمان می‌ باشد.

هکرها پس‌ از اخذ دسترسی‌ به‌ هاست‌ مورد نظر، از بدافزار، دستورات مختلف‌، اسکریپت‌های‌ سفارشی‌سازی‌ شده به‌ منظور جمع‌آوری‌ اطلاعات سیستم‌ و شبکه‌ و نیز اطلاعات حساب کاربری‌ از پایگاه داده نرم افزارVeeam Backup استفاده می‌ کنند. پایداری‌ Dieceloader بر روی‌ سیستم‌، به‌ واسطه‌ یک‌ اسکریپت‌ پاورشل‌ به‌ نام PowerHold به‌ دست‌ می‌آید؛ در ادامه‌ هکرها با استفاده از اطلاعات حساب های‌ کاربری‌ سرقت‌ شده، اقدام به‌ اجرای‌ فاز Lateral Movement می‌نمایند و دسترسی‌ خود را از طریق‌ دستوراتی‌ نظیر net share و .... مورد بررسی‌ قرار می‌دهند که‌ البته‌ این‌ تلاش ها موفقیت‌آمیز بوده اند؛ تیم‌ هکری‌ برای‌ توزیع‌ اسکریپت‌های‌ پاورشل‌ در Administrative Shares، از پروتکل‌ ارتباطی‌ SMB استفاده نموده اند.

هدف نهایی‌ و اصلی‌ این‌ حملات، مشخص‌ نیست‌ ولی‌ ادعا شده که‌ حملات مزبور پیش‌ از توزیع‌ Payload نهایی‌، متوقف‌ شده اند ولی‌ محققان هشدار داده اند که‌ این‌ احتمال وجود دارد که‌ در صورتی‌ که‌ زنجیره حمله‌ با موفقیت‌ انجام شده باشد، این‌ اتفاق منجر به‌ توزیع‌ باج افزار و یا سرقت‌ داده ها شده باشد. در همین‌ رابطه‌، محققان امنیتی‌ به‌ شرکت‌ها و سازمان هایی‌ که‌ از نرم افزار Veeam Backup and Replication استفاده می‌کنند، هشدارد داده اند تا نسبت‌ به‌ اطلاعات ارائه‌ شده از سوی‌ خود، نظارت داشته‌ باشند و از این‌ اطلاعات برای‌ شناسایی‌ نشانه‌های‌ نفوذ به‌ شبکه‌ خود، استفاده نمایند.

در همین‌ رابطه‌، از شرکت‌ها و سازمان ها خواسته‌ شده است‌ که‌ اعمال وصله‌های‌ امنیتی‌ منتشر شده را در اولویت‌ خود قرار دهند چرا که‌ احتمال سوءاستفاده گروه های‌ هکری‌ از آسیب‌ پذیری‌ مورد بحث‌، وجود دارد. لازم به‌ ذکر است‌ گروه FIN7 به‌ واسطه‌ فعالیت‌ در زمینه‌ حملات باج افزاری‌ شناخته‌ می‌شود؛ به‌ صورت ویژه حملاتی‌ که‌ در آنها از باج افزارهایی‌ نظیر Conti Syndicate، REvil, Maze,Egregor, BlackBasta استفاده شده است‌. اخیراً محققان شرکت‌ IBM نیز گزارشی‌ در خصوص تشکیل‌ تیم‌ مشترکی‌ از اعضای‌ FIN7 با اعضای‌ سابق‌ گروه Conti منتشر نموده بود که‌ هدف از این‌ کار، توزیع‌ یک‌ بدافزار جدید به‌ نام Domino بوده است‌ که‌ این‌ بدافزار، دسترسی‌ به‌ یک‌ هاست‌ آلوده را فراهم‌ ساخته‌ و امکان توزیع‌ Cobal Strike Beacon را با هدف پایداری‌ بدافزار بر روی‌ سیستم‌ هدف، برای‌ مهاجمان فراهم‌ می‌سازد.