정보보안 스터디 - 29주차 3일 - Veeam 백업 서버 온라인 노출

원문 - https://www.bleepingcomputer.com/news/security/hackers-target-vulnerable-veeam-backup-servers-exposed-online/

 

쇼단처럼 인터넷에 노출되어 있는 Veeam 백업 서버를 공격했습니다.

 7500개정도의 인터넷 노출된 호스트가 취약해보인다고 하구요.

VBR 설정에서 권한없이 크리덴셜을 가져왔습니다. 따라서 백업 인프라 호스트에 접근이 가능했습니다.

 

여러 공격기법을 조사해본 결과, 랜섬웨어와 연관이 있는 FIN7 그룹으로 추정됩니다.

 

sqlservr.exe > cmd.exe > PowerShell 스크립트 다운 으로 진행됐습니다.

탈취한 크리덴셜을 가지고 WMI 에 접근하여 net share라는 커맨드를 시도했었고, 횡적 이동을 시도했습니다.SMB 프로토콜을 이용해 파워쉘 스크립트를 타겟에 떨궜습니다.

 

아직 공격의 목적이 끝나지 않아 보여 다시 공격할 가능성도 있습니다.