勒索软件Cuba正在利用MicrosoftExchange中的漏洞来获取对公司网络的访问权限并加密设备。知名网络安全公司Mandiant追踪到,使用该勒索软件的团伙名为UNC2596,勒索软件本身名为COLDDRAW。其实,这款勒索病毒还有一个大家比较熟悉的名字——Cuba,本文也将以此为称呼。Cuba勒索软件行动于2019年底启动,起步非常缓慢,但在2020年、2021年开始加速。随着该软件的活跃度越来越高,FBI在2021年12月发布了关于Cuba勒索软件的警告,警告说该团伙已经破坏了美国的49个关键基础设施组织。此外,美国一份新报告称,古巴行动主要针对美国,其次是加拿大。混合但量身定制的恶意软件自2021年8月以来,古巴勒索软件团伙利用MicrosoftExchange漏洞部署网络外壳、老鼠病毒和后门程序,试图在目标网络上建立据点。这可以在一份新的Mandiant报告中得到验证,“早在2021年8月,UNC2596就利用了包括ProxyShell和ProxyLogon在内的MicrosoftExchange漏洞。”植入的后门包括CobaltStrike和NetSupportManager远程访问工具,但该组织还使用他们自己的“Bughatch”、“wedgcut”、“eck.exe”和“Burntcigar”工具。下面简单介绍一下这三个工具:Wedgcut是一种侦察工具,通过PowerShell枚举ActiveDirectory,通常以名为“check.exe”的可执行文件的形式存在。Bughatch是一个从C&C服务器获取PowerShell脚本和文件的下载器。为了逃避检测,它从远程URL加载到内存中。Burntcigar是一种工具,可以通过利用Avast驱动程序中的漏洞在内核级别杀死进程,该漏洞是“自带易受攻击的驱动程序”攻击的工具。此外,还有一个内存模式滴管,可以获取和加载上述有效负载,称为Termite。事实上,它并不是古巴攻击者独有的,之前也观察到它在许多其他攻击中起作用。研究表明,古巴被袭击的过程大致是这样的。首先,攻击者使用窃取的帐户凭据通过现有的Mimikatz和Wicker工具提升权限。然后,他们使用wedgcut进行网络侦察,之后,他们使用RDP、SMB、PsExec和CobaltStrike进行横向移动。接下来部署了载有白蚁的Bughatch和Burntcigar,通过禁用安全工具为数据泄露和文件加密奠定了基础。古巴不使用任何云服务进行数据泄露,而是将所有信息发送到他们自己的私有基础设施。恶意软件演变史早在2021年5月,Cuba勒索软件就与Hancitor恶意软件的垃圾邮件运营商合作,通过DocuSign钓鱼邮件进入企业网络。此后,古巴逐渐发展出针对面向公众的服务漏洞的攻击,例如MicrosoftExchangeProxyShell和ProxyLogon漏洞。这种转变使得对古巴的攻击更加强大,但也更容易防御,因为修补这些漏洞的安全更新是在几个月前发布的。如果大多数有价值的目标已经针对MicrosoftExchange漏洞进行了修补,那么古巴攻击可能会将注意力转移到其他漏洞上。这告诉我们,一旦软件供应商提供安全更新,就应用它们对于我们即使在最复杂的攻击情况下也能保持强大的安全性的能力至关重要。参考来源:https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-cuba-ransomware/
