隔日，这些黑客将活动目标从故障自动切换服务器转移至文件服务器，以便开始从事恶意行为，他们主要的活动重点在于，利用已知漏洞CVE-2023-27532，搜刮帐密数据。

对方先是利用公开的漏洞概念性验证攻击代码，企图得到Veeam Backup & Replication帐密管理员存放的密码。他们也利用漏洞利用工具，导致备份软件当机。接着，黑客再使用第3组漏洞利用工具，于文件服务器激活SQL Server的xp_cmdshell功能，并创建名为VeeamBkp的帐号。

然后，攻击者滥用能公开取得的网络工具Netscan、Nirsoft推出的密码复原工具，以及AdFind，来扫描网络环境、侦察正在运作的主机、连接端口、共享文件夹，并搜括帐密数据。值得留意的是，他们利用VeeamBkp帐号在备份服务器进行额外的帐密数据收集。

借由上述收集到的帐密数据，对方能够在网域服务器立足，并借由外流的AD帐号数据，横向移动到其他服务器及工作站。一旦成功存取所有的电脑，他们停用杀毒软件Microsoft Defender，然后部署勒索软件Estate。

值得留意的是，这波攻击行动并非首度有人利用上述已知漏洞从事勒索软件攻击。去年8月，勒索软件Cuba用于攻击美国关键基础设施、拉丁美洲IT系统集成服务商；今年6月，黑客组织Storm-1567将其用来攻击拉丁美洲的航空业者，对其散布勒索软件Akira。