新ランサムウェアEstateRansomware、Veeam製品の脆弱性を悪用(CVE-2023-27532) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 新ランサムウェアEstateRansomware、Veeam製品の脆弱性を悪用(CVE-2023-27532)

Threat Report

EstateRansomware

FortiGate

Silobreaker-CyberAlert

新ランサムウェアEstateRansomware、Veeam製品の脆弱性を悪用(CVE-2023-27532)

Yoshida

Yoshida

2024.07.11

新たなランサムウェアグループがVeeam製バックアップソフトウェアの脆弱性を悪用(CVE-2023-27532)

The Hacker News – Jul 10, 2024

今年4月に発見された新たなランサムウェアグループ「EstateRansomware」がVeeam Backup & Replicationに存在する脆弱性CVE-2023-27532を悪用していることを、Group-IBの研究者が明かした。

Group-IBが4月に観測した攻撃においてEstateRansomwareは、初期アクセスの手段として休眠アカウントを使用。Fortinet FortiGateファイアウォールのSSL VPNサービスに対してブルートフォース攻撃を行っていたという。これによりVPNへのログインを成功させると、ファイアウォールから標的のフェイルオーバーサーバーへのRDP接続を確立。次に持続的に活動を続けるバックドアを展開してC2サーバーへの接続を確立したことで、攻撃者の発する任意のコマンドを実行できる状態が実現された。

初期アクセス後の活動としては、脆弱性CVE-2023-27532の悪用を通じて不正なユーザーアカウントを作成し、NetScanやAdFindのほか、NitSoftが提供するさまざまなツールを使いつつ、標的のシステムでネットワークのスキャンや列挙、クレデンシャルハーベスティングといった活動を行おうとしているのが観測されている。その後DC.exeを用いてWindows Defenderを永久に無効化し、PsExec.exeを使ってランサムウェアの展開と実行が行われていたとのこと。

関連記事:

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ