I ricercatori di WithSecure avvertono che un gruppo di criminali informatici noto come FIN7 sta compromettendo i server Backup & Replication di Veeam e distribuendo malware su di essi. Non è ancora chiaro come gli aggressori si stiano introducendo nei server, ma una possibilità è che stiano sfruttando una vulnerabilità patchata il mese scorso nella popolare soluzione di replica dei dati aziendali.

I ricercatori hanno finora svolto indagini su due compromissioni di questo tipo risalenti alla fine di marzo, ma ritengono che facciano probabilmente parte di una campagna più ampia. L’attività successiva all’exploit ha incluso la ricognizione del sistema e della rete, l’estrazione di credenziali e il movimento laterale.

Strumenti e tecniche coerenti con le attività passate di FIN7

FIN7 o Carbon Spider è un gruppo di criminali informatici attivo almeno dal 2013 e associato alla famiglia di malware Carbanak. Il gruppo era noto nei primi anni per aver lanciato attacchi malware contro organizzazioni dei settori della vendita al dettaglio, della ristorazione e dell’ospitalità con l’obiettivo di rubare le informazioni delle carte di credito. Tuttavia, FIN7 si è espanso anche nel settore dei ransomware, essendo associato alle famiglie di ransomware Darkside e BlackMatter e, più recentemente, a BlackCat/ALPHV.

Un’analisi forense sui server Veeam compromessi ha mostrato che il processo SQL Server “sqlservr.exe”, collegato all’istanza di Veeam Backup, è stato utilizzato per eseguire uno script shell batch, che a sua volta ha scaricato ed eseguito uno script PowerShell direttamente in memoria. Lo script PowerShell era POWERTRASH, un caricatore di malware che in passato è stato attribuito a FIN7.

Questo caricatore basato su PowerShell è progettato per decomprimere i payload incorporati ed eseguirli nel sistema utilizzando una tecnica nota come reflective PE injection. FIN7 è stato visto in precedenza utilizzare questo loader per distribuire il trojan Carbanak, il beacon Cobalt Strike o una backdoor chiamata DICELOADER o Lizar. Quest’ultima è stata osservata anche nei recenti attacchi contro i server Veeam, stabilendo un altro collegamento con FIN7.

La backdoor DICELOADER ha permesso agli aggressori di distribuire ulteriori script bash personalizzati e script PowerShell. Alcuni degli script utilizzati erano identici a quelli usati da FIN7 in altri attacchi. Ad esempio, alcuni script hanno raccolto informazioni sul sistema locale, come i processi in esecuzione, le connessioni di rete aperte, le porte di ascolto e la configurazione IP. Un altro script ha utilizzato la Windows Instrumentation Interface per raccogliere in remoto informazioni su altri sistemi in rete. Un altro script, noto per essere parte dell’arsenale di FIN7, è stato utilizzato per risolvere gli indirizzi IP raccolti in host locali che identificavano i computer della rete.

Uno script personalizzato chiamato gup18.ps1, mai osservato prima, è stato utilizzato per impostare un meccanismo di persistenza in modo che la backdoor DICELOADER si avvii al riavvio del sistema. L’esecuzione della backdoor avviene tramite il sideloading di DLL contro un file eseguibile chiamato gup.exe che fa parte di un’applicazione legittima chiamata Notepad++. Gli aggressori forniscono sia il file legittimo gup.exe con il suo file di configurazione, sia una libreria modificata in modo malevolo chiamata libcurl.dll che gup.exe è progettato per eseguire. Questa libreria decodifica poi il payload di DICELOADER da un altro file e lo esegue.

Gli aggressori sono stati visti eseguire anche comandi specifici di Veeam. Ad esempio, hanno utilizzato comandi SQL per rubare informazioni dal database di backup di Veeam e uno script personalizzato per recuperare le password dal server.

Possibile sfruttamento della vulnerabilità CVE-2023-27532

Sebbene i ricercatori di WithSecure non siano sicuri di come i server siano stati compromessi, sospettano che gli aggressori abbiano sfruttato una vulnerabilità classificata come CVE-2023-27532 e patchata da Veeam il 7 marzo. La falla consente a un utente non autenticato in grado di connettersi al server sulla porta TCP 9401 di estrarre le credenziali memorizzate nel database di configurazione del server e di ottenere potenzialmente l’accesso al sistema host del server.

“Un exploit proof-of-concept (POC) è stato reso disponibile pubblicamente pochi giorni prima della campagna, il 23 marzo 2023”, hanno dichiarato i ricercatori di WithSecure. “Il POC contiene funzionalità di esecuzione di comandi remoti. L’esecuzione di comandi remoti, ottenuta tramite comandi shell SQL, produce la stessa catena di esecuzione osservata in questa campagna”.

A ciò si aggiunge il fatto che i server sfruttati avevano la porta TCP 9401 esposta a Internet, eseguivano versioni vulnerabili del software quando sono stati compromessi e registravano attività da un indirizzo IP esterno sulla porta 9401 subito prima che l’istanza del server SQL invocasse i comandi shell dannosi. Alcune attività e comandi di shell sono stati registrati sui server anche alcuni giorni prima dell’attacco dannoso, il che, secondo i ricercatori, potrebbe essere il risultato di una scansione automatica eseguita dagli aggressori per identificare i server vulnerabili.

“Consigliamo alle aziende interessate di seguire le raccomandazioni e le linee guida per applicare le patch e configurare i server di backup in modo appropriato, come indicato nel documento KB4424: CVE-2023-27532, hanno dichiarato i ricercatori di WithSecure. “Anche le informazioni contenute nel report e nel nostro repository GitHub possono aiutare le organizzazioni a individuare i segni di compromissione”.