Программа-вымогатель Cuba использует уязвимости Microsoft Exchange для получения начального доступа к корпоративным сетям и шифрования устройств.
Фирма по кибербезопасности Mandiant отслеживает банду программ-вымогателей как UNC2596, а саму программу-вымогатель — как COLDDRAW. Тем не менее, программа-вымогатель более известна как Cuba, и именно так BleepingComputer будет ссылаться на нее в этой статье.
Куба — это операция по вымогательству, которая была запущена в конце 2019 года, и, хотя она началась медленно, она начала набирать скорость в 2020 и 2021 годах. Этот рост активности привел к тому, что ФБР выпустило в декабре 2021 года бюллетень о кубинской программе-вымогателе , предупреждая, что банда взломала 49 критически важных инфраструктурных организаций в США
В новом отчете Mandiant исследователи показывают, что операция на Кубе в первую очередь нацелена на Соединенные Штаты, а затем на Канаду.
Тепловая карта жертв программ-вымогателей на Кубе
Источник: Mandiant
Смешивание обычных и заказных вредоносных программ
Было замечено, что кубинская банда вымогателей использует уязвимости Microsoft Exchange для развертывания веб-оболочек, RAT и бэкдоров, чтобы закрепиться в целевой сети с августа 2021 года.«Mandiant также определила использование уязвимостей Microsoft Exchange, включая ProxyShell и ProxyLogon , как еще одну точку доступа, используемую UNC2596, вероятно, уже в августе 2021 года», — объясняет Mandiant в новом отчете .
Внедренные бэкдоры включают Cobalt Strike или инструмент удаленного доступа NetSupport Manager, но группа также использует свои собственные инструменты «Bughatch», «Wedgecut», «eck.exe» и Burntcigar.
Wedgecut поставляется в виде исполняемого файла с именем «check.exe», который представляет собой инструмент разведки, который перечисляет Active Directory через PowerShell.
Bughatch — это загрузчик, который извлекает сценарии и файлы PowerShell с C&C-сервера. Чтобы избежать обнаружения, он загружается в память с удаленного URL-адреса.
Burntcigar — это утилита, которая может завершать процессы на уровне ядра, используя уязвимость в драйвере Avast, которая включена в инструмент для атаки « принеси свой собственный уязвимый драйвер ».
Наконец, есть дроппер, работающий только с памятью, который извлекает вышеуказанные полезные данные и загружает их, он называется Termite. Однако этот инструмент был замечен в кампаниях нескольких групп угроз, поэтому он не используется исключительно участниками угрозы Кубы.
Злоумышленники повышают привилегии, используя украденные учетные данные, полученные с помощью доступных инструментов Mimikatz и Wicker.
Затем они проводят разведку сети с помощью Wedgecut, а затем перемещаются в горизонтальном направлении с помощью RDP, SMB, PsExec и Cobalt Strike.
Последующее развертывание — это Bughatch, загруженный Termite, за которым следует Burntcigar, который закладывает основу для кражи данных и шифрования файлов путем деактивации инструментов безопасности.
Банда Кубы не использует никаких облачных сервисов для этапа эксфильтрации, а вместо этого отправляет все в свою собственную частную инфраструктуру.
Записка жертвам кубинского вируса-вымогателя
Источник: Mandiant
Развивающаяся операция
Еще в мае 2021 года программа-вымогатель Cuba сотрудничала с операторами спама вредоносного ПО Hancitor, чтобы получить доступ к корпоративным сетям через фишинговые электронные письма DocuSign.С тех пор Cuba расширила свою деятельность, чтобы устранить уязвимости общедоступных служб, такие как уязвимости Microsoft Exchange ProxyShell и ProxyLogon .
Этот сдвиг делает атаки более мощными, но также и более легкими для предотвращения, поскольку обновления безопасности, устраняющие эксплуатируемые проблемы, доступны уже много месяцев.
Операция Куба, скорее всего, обратит внимание на другие уязвимости, как только не останется ценных целей, на которых работают непропатченные серверы Microsoft Exchange.
Это означает, что применение доступных обновлений безопасности сразу же после их выпуска поставщиками программного обеспечения является ключом к поддержанию надежной защиты даже от самых изощренных злоумышленников.
Перевод - Google
Bleeping Computer