隔日，這些駭客將活動目標從故障自動切換伺服器轉移至檔案伺服器，以便開始從事惡意行為，他們主要的活動重點在於，利用已知漏洞CVE-2023-27532，搜刮帳密資料。

對方先是利用公開的漏洞概念性驗證攻擊程式碼，企圖得到Veeam Backup & Replication帳密管理員存放的密碼。他們也利用漏洞利用工具，導致備份軟體當機。接著，駭客再使用第3組漏洞利用工具，於檔案伺服器啟用SQL Server的xp_cmdshell功能，並建立名為VeeamBkp的帳號。

然後，攻擊者濫用能公開取得的網路工具Netscan、Nirsoft推出的密碼復原工具，以及AdFind，來掃描網路環境、偵察正在運作的主機、連接埠、共享資料夾，並搜括帳密資料。值得留意的是，他們利用VeeamBkp帳號在備份伺服器進行額外的帳密資料收集。

藉由上述收集到的帳密資料，對方能夠在網域伺服器立足，並藉由外流的AD帳號資料，橫向移動到其他伺服器及工作站。一旦成功存取所有的電腦，他們停用防毒軟體Microsoft Defender，然後部署勒索軟體Estate。

值得留意的是，這波攻擊行動並非首度有人利用上述已知漏洞從事勒索軟體攻擊。去年8月，勒索軟體Cuba用於攻擊美國關鍵基礎設施、拉丁美洲IT系統整合服務商；今年6月，駭客組織Storm-1567將其用來攻擊拉丁美洲的航空業者，對其散布勒索軟體Akira。