连国外网的加速器

Veritas Backup软件漏洞被ALPHV/BlackCat勒索软件联盟利用，从而进入目标网络。

Mandiant发现一个名为UNC4466的新ALPHV联盟，利用暴露在互联网上的Veritas Backup Exec安装中的漏洞。

超过8500个Veritas Backup Exec实例被发现公开暴露，并可能受到这三个漏洞的攻击。 与之前ALPHV依靠窃取凭证进行的入侵不同，该联盟似乎在伺机攻击已知漏洞。

ALPHV因针对关键基础设施和卫生实体而声名鹊起，而其他一些勒索软件运营商则避开此类目标。 Mandiant在一篇博文中详细介绍了这一攻击，其中包括有关检测和指标的信息。

Mandiant观察到ALPHV勒索软件的附属程序UNC4466利用影响Veritas备份软件的高严重性漏洞（即CVE-2021-27876、CVE-2021-27877和CVE-2021-27878）来初始化对受害者环境的访问。

据Mandiant称一项商业扫描服务发现，在10000、9000和10001端口上有超过8500个IP地址公开宣传 "Symantec/Veritas Backup Exec ndmp "服务。

Mandiant的调查结果显示，UNC4466威胁组织使用Metasploit模块入侵了一台运行Veritas Backup Exec的Windows服务器，并保持了对主机的访问权限。

他们使用Advanced IP Scanner和ADRecon等工具收集受害者的环境信息，并下载其他工具，包括ALPHV勒索软件加密器。 该组织使用SOCKS5隧道进行C2通信，并利用BITS传输下载工具和部署勒索软件有效载荷。

为了提升权限，该组织使用Mimikatz、LaZagne和Nanodump窃取用户凭证，并通过清除事件日志和禁用Microsoft Defender的实时监控来逃避检测。

防御者可以利用Mandiant报告中提供的指导，及时发现UNC4466攻击，并采取必要措施防止ALPHV有效载荷在其系统上执行。