ALPHV 勒索病毒利用 Veritas Backup 漏洞进行攻击

Key Takeaways

• Mandiant 发现 ALPHV/BlackCat 勒索病毒集团的一个附属组织利用 Veritas Backup 的三个漏洞获取目标网络访问权限。
• 相关漏洞包括 CVE-2021-27876、CVE-2021-27877 和 CVE-2021-27878，均影响 Veritas Backup 软件。
• 超过 8,500 个 IP 地址在未更新补丁的情况下仍存在潜在风险。
• 攻击者利用 Metasploit 模块进行攻击，并在入侵后进行环境分析。

根据 的报道，网络安全公司
Mandiant 发现 ALPHV/BlackCat 勒索病毒集团的一个附属组织正在通过利用 Veritas Backup中的多个漏洞来获取目标网络的访问权限。Mandiant 将该附属组织命名为“UNC4466”，首次发现其在 2022 年 10 月 22日利用三个高危漏洞：CVE-2021-27876、CVE-2021-27877 和 CVE-2021-27878。

漏洞名称 | 描述 | 发布日期
—|—|—
CVE-2021-27876 | 影响 Veritas Backup 的漏洞 | 2021年3月
CVE-2021-27877 | 影响 Veritas Backup 的漏洞 | 2021年3月
CVE-2021-27878 | 影响 Veritas Backup 的漏洞 | 2021年3月

这三个漏洞使得恶意行为者能够远程获得未授权访问权。虽然 Veritas 于 2021 年 3 月公布了这些漏洞并发布了补丁，但 Mandiant的报告显示，经过商业扫描服务检查，仍有超过 8,500 个使用该服务的 IP 地址可能因未更新至修补版本而存在潜在风险。

Mandiant 报告称，UNC4466 使用了一个公开可得的 Metasploit 模块来利用该漏洞。入侵初期后，攻击者使用 Advanced IPScanner 和 ADRecon 工具对受害者环境进行分析。随后，他们利用背景智能传输服务（Background Intelligent TransferService）下载工具，包括 LAZAGNE、LIGOLO、RCLONE、WINSW 及 ALPHV 的加密程序。

这一系列的攻击行为突显了网络安全的严峻挑战，提醒用户必须定期更新软件以减少潜在的安全风险。