Veeam 备份与恢复漏洞警报

重点内容

• FIN7 黑客组织利用 Veeam 备份漏洞进行攻击，传播后门病毒
• CVE-2023-27532 漏洞尚未修补的实例遭受攻击
• 攻击者通过 Veeam 备份进程实现命令执行，下载并执行恶意软件

根据 的报道，自三月底以来，未修补 CVE-2023-27532 漏洞的 Veeam备份与恢复实例已遭受到俄罗斯 FIN7 黑客组织的攻击，利用 Diceloader 或 Lizar 后门进行感染。FIN7 利用 Veeam 备份进程实现了 shell 命令的执行，这使得攻击者能够下载和执行以 PowerShell 为基础的内存释放工具 Powertrash，而后使用该工具部署 Diceloader。报告指出，脆弱的 Veeam 备份系统也在恶意软件投递前的几天内成为目标。

WithSecure Intelligence 目前已识别出两起由 FIN7 进行的此类攻击实例。由于这两个实例的初始活动都是在同一天从同一公共 IP 地址发起的，因此很可能这些事件是更大规模活动的一部分。然而，考虑到公开暴露的 Veeam 备份服务器 TCP 9401 端口的稀有性，我们认为此次攻击的范围有限。

如需了解更多信息，请参阅 。确保您的 Veeam备份系统已更新，以防止潜在的安全风险。