[01/05/2023] Los investigadores advierten de que un grupo de ciberdelincuentes con motivaciones financieras conocido como FIN7 está comprometiendo servidores de Veeam Backup & Replication y desplegando malware en ellos. Todavía no está claro cómo los atacantes están entrando en los servidores, pero una posibilidad es que se estén aprovechando de una vulnerabilidad parcheada en la popular solución de replicación de datos empresariales el mes pasado.
Los investigadores de la empresa de ciberseguridad WithSecure han investigado hasta ahora dos casos de este tipo, que datan de finales de marzo, pero creen que es probable que formen parte de una campaña más amplia. La actividad posterior a la explotación incluyó la configuración de la persistencia, el reconocimiento del sistema y la red, la extracción de credenciales y el movimiento lateral.
Las herramientas y técnicas utilizadas concuerdan con la actividad anterior de FIN7
FIN7 o Carbon Spider es un grupo de ciberdelincuentes que lleva operando al menos desde el 2013 y ha estado asociado a la familia de malware Carbanak. El grupo fue conocido en sus primeros años por lanzar ataques de malware contra organizaciones de los sectores minorista, de restauración y hostelero con el objetivo de robar información de tarjetas de crédito. Sin embargo, FIN7 también se expandió al ransomware, estando asociado con las familias de ransomware Darkside y BlackMatter, y más recientemente BlackCat/ALPHV.
Un análisis forense de los servidores de Veeam comprometidos mostró que el proceso de SQL Server "sqlservr.exe" relacionado con la instancia de Veeam Backup se utilizaba para ejecutar un script de shell por lotes, que a su vez descargaba y ejecutaba un script de PowerShell directamente en la memoria. Ese script de PowerShell era POWERTRASH, un cargador de malware ofuscado que se ha atribuido a FIN7 en el pasado.
Este cargador basado en PowerShell está diseñado para desempaquetar cargas útiles incrustadas y ejecutarlas en el sistema mediante una técnica conocida como inyección PE reflexiva. Anteriormente se había visto a FIN7 utilizar este cargador para desplegar el troyano Carbanak, la baliza Cobalt Strike o un backdoor llamado DICELOADER o Lizar. Este último también se observó en los recientes ataques contra servidores de Veeam, estableciendo otro vínculo con FIN7.
El backdoor DICELOADER permitía a los atacantes desplegar scripts bash y scripts PowerShell personalizados adicionales. Algunos de los scripts utilizados eran idénticos a los utilizados por FIN7 en otros ataques.
Por ejemplo, algunos scripts recopilaban información sobre el sistema local, como procesos en ejecución, conexiones de red abiertas y puertos de escucha y configuración IP. Otro script utilizaba la interfaz de instrumentación de Windows para recopilar de forma remota información sobre otros sistemas de la red. Otro script que se sabe que forma parte del arsenal de FIN7 se utilizó para resolver las direcciones IP recopiladas a hosts locales que identificaban las computadoras de la red.
Se utilizó un script personalizado llamado gup18.ps1 que no se había observado antes para configurar un mecanismo de persistencia de modo que el backdoor DICELOADER se inicie al reiniciar el sistema. La ejecución del backdoor se consigue mediante una carga lateral DLL contra un archivo ejecutable llamado gup.exe que forma parte de una aplicación legítima llamada Notepad++.
Los atacantes entregan tanto el gup.exe legítimo junto con su archivo de configuración como una biblioteca maliciosamente modificada llamada libcurl.dll que el gup.exe está diseñado para ejecutar. A continuación, esta biblioteca descodifica la carga útil DICELOADER de otro archivo y la ejecuta.
Los atacantes también ejecutaron comandos específicos de Veeam. Por ejemplo, utilizaron comandos SQL para robar información de la base de datos de copias de seguridad de Veeam y un script personalizado para recuperar contraseñas del servidor.
Posible explotación de CVE-2023-27532
Aunque los investigadores de WithSecure no están seguros de cómo fueron comprometidos los servidores, sospechan que los atacantes explotaron una vulnerabilidad rastreada como CVE-2023-27532 que fue parcheada por Veeam el 7 de marzo. La falla permite a un usuario no autenticado que pueda conectarse al servidor a través del puerto TCP 9401 extraer credenciales almacenadas en la base de datos de configuración del servidor y, potencialmente, obtener acceso al sistema host del servidor.
"Unos días antes de la campaña, el 23 de marzo del 2023, se hizo público un exploit de prueba de concepto", explicaron los investigadores de WithSecure. "La POC contiene funcionalidad de ejecución remota de comandos. La ejecución remota de comandos, que se logra a través de comandos SQL shell, produce la misma cadena de ejecución observada en esta campaña".
Esto se une al hecho de que los servidores explotados tenían el puerto TCP 9401 expuesto a Internet, ejecutaban versiones vulnerables del software cuando fueron comprometidos, y registraban actividad desde una dirección IP externa en el puerto 9401 justo antes de que la instancia del servidor SQL invocara los comandos shell maliciosos.
También se registró cierta actividad y comandos shell en los servidores unos días antes del ataque malicioso, lo que los investigadores creen que podría ser el resultado de un escaneo automatizado que los atacantes realizaron para identificar servidores vulnerables.
"Aconsejamos a las empresas afectadas que sigan las recomendaciones y directrices para parchear y configurar adecuadamente sus servidores de copia de seguridad como se indica en KB4424: CVE-2023-27532", dijeron los investigadores de WithSecure. "La información de este informe, así como nuestro repositorio GitHub IOCs también puede ayudar a las organizaciones a buscar signos de compromiso".
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú