กลุ่มแรนซัมแวร์ Frag ใช้ช่องโหว่ RCE บน Veeam Backup & Replication เพื่อโจมตีองค์กร หลังจากที่กลุ่ม Akira และ Fog ได้ใช้ช่องโหว่เดียวกันนี้ในการโจมตีก่อนหน้า
รายงานล่าสุดจาก Sophos X-Ops พบการโจมตีใหม่จากกลุ่ม Frag Ransomware ที่ใช้ช่องโหว่ CVE-2024-40711 บนซอฟต์แวร์ Veeam Backup & Replication ช่องโหว่นี้เกิดจากปัญหาการประมวลผลข้อมูล ทำให้ผู้โจมตีสามารถทำ Remote Code Execution (RCE) ได้โดยไม่จำเป็นต้องยืนยันตัวตน
ในการโจมตีล่าสุด กลุ่มแฮกเกอร์ที่ถูกติดตามในชื่อ “STAC 5881” ได้ใช้ช่องโหว่นี้ร่วมกับการขโมยข้อมูลการเข้าถึง VPN เพื่อสร้างบัญชีผู้ใช้งานใหม่ชื่อ “point” และ “point2” ในกลุ่ม Administrators และ Remote Desktop Users บนเซิร์ฟเวอร์ที่ยังไม่ได้รับการแพตช์ จากนั้นจึงแพร่กระจายมัลแวร์ Frag เข้าสู่ระบบ นักวิจัยพบว่ากลุ่ม Frag ใช้เทคนิค Living Off The Land binaries (LOLBins) ทำให้ยากต่อการตรวจจับการโจมตี โดย Veeam ได้ออกแพตช์แก้ไขช่องโหว่นี้แล้วเมื่อวันที่ 4 กันยายน 2024 ผู้ดูแลระบบควรรีบอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยเร็วที่สุดเพื่อป้องกันการถูกโจมตี
นอกจากนี้ ในเดือนมีนาคม 2023 Veeam เคยแก้ไขช่องโหว่ระดับความรุนแรงสูง CVE-2023-27532 ที่อนุญาตให้ผู้โจมตีเข้าถึงระบบสำรองข้อมูลได้ ซึ่งต่อมาถูกใช้โดยกลุ่ม FIN7 และกลุ่ม Cuba Ransomware ในการโจมตีองค์กรโครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริกา แสดงให้เห็นว่า Veeam เป็นเป้าหมายสำคัญสำหรับผู้โจมตีที่ต้องการเข้าถึงข้อมูลสำรองขององค์กรอย่างต่อเนื่อง
———————————————————————————————————————————————————————————
ที่มา : Techtalkthai / วันที่เผยแพร่ 11 พ.ย.67
Link : https://www.techtalkthai.com/veeam-vulnerability-exploited-by-frag-ransomware-gang/
