勒索软件Cuba正利用微软Exchange的漏洞进入企业网络并对设备进行加密。知名网络安全公司Mandiant追踪到,使用该勒索软件的团伙名为UNC2596,而勒索软件本身的名字为COLDDRAW。其实,这个勒索软件有一个更为人熟知的名字——Cuba,本文也将以这个名字引述它。
Cuba是一项于2019年年底启动的勒索软件行动,起初发展非常缓慢,但在2020年、2021年开始加速发展。随着该软件活动的日益活跃,联邦调查局在2021年12月发布了一份关于Cuba勒索软件的警告,警告称该团伙已侵入美国49个关键基础设施组织。此外,在的一份新报告中指出,Cuba行动主要针对的是美国,其次是加拿大。
混合性强却是量身定制的恶意软件
自2021年8月以来,Cuba勒索软件团伙利用Microsoft Exchange漏洞部署网络外壳、rat病毒和后门,试图在目标网络上建立据点。
这一点可以在Mandiant一份最新报告中得到验证,“早在2021年8月,UNC2596就利用了包括ProxyShell和ProxyLogon在内的微软Exchange漏洞。”
被植入的后门包括Cobalt Strike和NetSupport Manager远程访问工具,但该组织也使用他们自己的“Bughatch”、“wedgcut”、“eck.exe”和“Burntcigar”工具。
以下是三种工具的简单介绍:
Wedgcut是一个通过PowerShell枚举活动目录的侦察工具,通常以名为“check.exe”的可执行文件的形式出现。
Bughatch是从C&C服务器获取PowerShell脚本和文件的下载器。为了逃避检测,它从远程URL加载到内存中。
Burntcigar是一个可以利用Avast驱动程序中的漏洞在内核级别终止进程的工具,该工具附带了Avast驱动程序,用于“自带脆弱驱动程序”攻击。
此外,还有一个内存模式的病毒释放器,它获取并加载上述有效载荷,被称为Termite。其实,它倒也不是Cuba攻击者专用,之前已经被观察到运营在多次其他攻击活动中。
研究显示,cuba攻击流程大体是这样的。首先,攻击者使用偷来的账户凭证,通过现有的Mimikatz和Wicker工具升级特权。
然后,他们使用wedgcut进行网络侦察,再之后,他们使用RDP、SMB、PsExec和Cobalt Strike进行横向移动。
随后部署的是便是由Termite加载的Bughatch和 Burntcigar,它们通过禁用安全工具为数据外泄和文件加密奠定了基础。
Cuba不使用任何云服务来进行数据渗漏,而是将所有信息发送到他们自己的私人基础设施上。
恶意软件进化史
早在2021年5月,Cuba勒索软件就与Hancitor恶意软件的垃圾邮件运营商合作,通过DocuSign钓鱼邮件进入公司网络。
从那之后,Cuba逐步发展了针对面向公众服务漏洞的攻击,如Microsoft Exchange ProxyShell和ProxyLogon漏洞。
这一转变使Cuba攻击更加强大,但却也更容易被防御,因为早在几个月前修补那些漏洞的安全更新就已经发布。
如果大多数有价值的目标都已经更新Microsoft Exchange漏洞补丁,Cuba攻击就可能会将注意力转向其他漏洞。
这就给了我们一个启示,一旦软件供应商发布可用的安全更新,就立即应用这些更新,这对我们而言至关重要,即使我们面对最复杂的攻击者,我们也能够保持强大的安全态势。