勒索软件Cuba正利用微软Exchange漏洞进入企业网络并加密设备。知名网络安全公司Mandiant跟踪到,使用该勒索软件的团伙被称为UNC2596,而勒索软件本身的名字为COLDDRAW。事实上,这个勒索软件有一个更著名的名字——Cuba,这篇文章也将以这个名字引用。
Cuba这是2019年底启动的勒索软件行动,起初发展非常缓慢,但在2020年和2021年开始加速。随着软件活动的日益活跃,联邦调查局于2021年12月发布了关于Cuba勒索软件的警告称,该团伙已入侵美国49个关键基础设施组织。此外,在一份新报告中指出,Cuba主要针对美国,其次是加拿大。
混合性强但量身定制的恶意软件
自2021年8月以来,Cuba使用勒索软件团伙Microsoft Exchange网络外壳的漏洞部署,rat试图在目标网络上建立病毒和后门的据点。
这是可以的Mandiant早在2021年8月,一份最新报告就得到了验证,UNC2596使用包括ProxyShell和ProxyLogon在内的微软Exchange漏洞。”
植入的后门包括Cobalt Strike和NetSupport Manager远程访问工具,但组织也使用自己的Bughatch”、“wedgcut”、“eck.exe”和“Burntcigar”工具。
以下是三种工具的简要介绍:
- Wedgcut是一个通过PowerShell枚举目录的侦察工具通常被称为check.exe以可执行文件的形式出现。
- Bughatch是从C&C服务器获取PowerShell脚本和文件的下载器。为了避免检测,它从远程URL加载到内存中。
- Burntcigar是可用的Avast内核级终止驱动程序中漏洞的工具附带Avast用于攻击自带脆弱驱动程序的驱动程序。
此外,还有一个内存模式的病毒释放器,它获取并加载上述有效载荷,被称为Termite。其实也不是Cuba在许多其他攻击活动中,已经观察到攻击者是专用的。
研究显示,cuba攻击过程通常是这样的。首先,攻击者使用现有的偷来账户凭证Mimikatz和Wicker特权升级工具。
然后,它们被使用wedgcut然后他们使用网络侦察RDP、SMB、PsExec和Cobalt Strike横向移动。
随后部署是由Termite加载的Bughatch和 Burntcigar,它们为数据泄漏和文件加密奠定了基础。
Cuba数据泄露不使用任何云服务,而是将所有信息发送到自己的私人基础设施。
恶意软件进化史
早在2021年5月,Cuba勒索软件就与Hancitor通过恶意软件垃圾邮件运营商的合作DocuSign钓鱼邮件进入公司网络。
从那之后,Cuba逐步发展针对公共服务漏洞的攻击,如Microsoft Exchange ProxyShell和ProxyLogon漏洞。
这一转变使Cuba攻击更强大,但也更容易防御,因为早在几个月前就已经发布了修复这些漏洞的安全更新。
如果大多数有价值的目标都更新了Microsoft Exchange漏洞补丁,Cuba攻击可能会将注意力转向其他漏洞。
这给了我们一个启示,一旦软件供应商发布可用的安全更新,立即应用这些更新对我们至关重要,即使我们面对最复杂的攻击者,我们也能保持强大的安全趋势。
参考来源:https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-cuba-ransomware/