圖片來源: 

Veritas

安全廠商發現,知名備份軟體Veritas產品曾在去年遭到ALPHV(或BlackCat)勒索軟體利用漏洞感染,提醒曝險的企業用戶儘速修補漏洞。

Google旗下安全子公司Mandiant去年10月,發現一起針對執行Veritas Backup Exec軟體的攻擊行動。代號UNC4466 的駭客組織是在9月利用Metasploit攻擊框架濫用Veritas備份軟體三項漏洞CVE-2021-27876、 CVE-2021-27877及 CVE-2021-27878,以駭入一臺Windows伺服器,最後部署勒索軟體ALPHV勒索軟體。

ALPHV為Rust語言開發的勒索軟體即服務(ransomware-as-a-service),又名BlackCat。它首先是在2021年11月為人發現,研究人員相信它是Blackmatter及Darkside勒索軟體的後繼者,曾攻擊包括電玩遊戲開發商萬代南夢宮(Bandai Namco)

在進入受害者系統中,UNC4466利用Windows的IE瀏覽器下載掃瞄軟體,以及其他資料蒐集工具蒐集其他伺服器的IP、主機名及OS、硬體設備資訊、Active Directory環境資訊包括子網域、密碼政策、電腦與用戶帳號清單等到外部伺服器,以便掌握受害者系統環境。最後,駭客們分別下載遠端控制工具及密碼蒐集工具、並且關閉安全軟體,最後下載ALPHV加密工具攫取受害者檔案。

這三項漏洞影響Veritas Backup Exec 16.x、20.x及21.x版本。三漏洞CVSS 3.1風險值從8.2到8.8,屬於高風險漏洞。Veritas已在2021年3月釋出安全公告及21.2版本軟體加以修補

不過截至目前,Mandiant利用市面網路掃瞄服務,仍發現有超過8,500多臺IP位址的伺服器曝露出Veritas Backup Exec ndmp服務。安全廠商指出,雖然曝露的服務因應用程式版本不明,這掃瞄結果未直接發現有漏洞的系統,但也顯示仍有為數眾多的執行個體可能曝險。

安全廠商建議用戶應使用Windows版Veritas Backup Exec的log檔,透過分析可以了解是否曾被用於連上遠端系統。

熱門新聞

Advertisement