勒索軟件Cuba正利用微軟Exchange的漏洞進(jìn)入企業(yè)網(wǎng)絡(luò)并對設(shè)備進(jìn)行加密。知名網(wǎng)絡(luò)安全公司Mandiant追蹤到，使用該勒索軟件的團(tuán)伙名為UNC2596，而勒索軟件本身的名字為COLDDRAW。其實(shí)，這個勒索軟件有一個更為人熟知的名字——Cuba，本文也將以這個名字引述它。

Cuba是一項(xiàng)于2019年年底啟動的勒索軟件行動，起初發(fā)展非常緩慢，但在2020年、2021年開始加速發(fā)展。隨著該軟件活動的日益活躍，聯(lián)邦調(diào)查局在2021年12月發(fā)布了一份關(guān)于Cuba勒索軟件的警告，警告稱該團(tuán)伙已侵入美國49個關(guān)鍵基礎(chǔ)設(shè)施組織。此外，在的一份新報(bào)告中指出，Cuba行動主要針對的是美國，其次是加拿大。

混合性強(qiáng)卻是量身定制的惡意軟件

自2021年8月以來，Cuba勒索軟件團(tuán)伙利用Microsoft Exchange漏洞部署網(wǎng)絡(luò)外殼、rat病毒和后門，試圖在目標(biāo)網(wǎng)絡(luò)上建立據(jù)點(diǎn)。

這一點(diǎn)可以在Mandiant一份最新報(bào)告中得到驗(yàn)證，“早在2021年8月，UNC2596就利用了包括ProxyShell和ProxyLogon在內(nèi)的微軟Exchange漏洞。”

被植入的后門包括Cobalt Strike和NetSupport Manager遠(yuǎn)程訪問工具，但該組織也使用他們自己的“Bughatch”、“wedgcut”、“eck.exe”和“Burntcigar”工具。

以下是三種工具的簡單介紹：

• Wedgcut是一個通過PowerShell枚舉活動目錄的偵察工具，通常以名為“check.exe”的可執(zhí)行文件的形式出現(xiàn)。
• Bughatch是從C&C服務(wù)器獲取PowerShell腳本和文件的下載器。為了逃避檢測，它從遠(yuǎn)程URL加載到內(nèi)存中。
• Burntcigar是一個可以利用Avast驅(qū)動程序中的漏洞在內(nèi)核級別終止進(jìn)程的工具，該工具附帶了Avast驅(qū)動程序，用于“自帶脆弱驅(qū)動程序”攻擊。

此外，還有一個內(nèi)存模式的病毒釋放器，它獲取并加載上述有效載荷，被稱為Termite。其實(shí)，它倒也不是Cuba攻擊者專用，之前已經(jīng)被觀察到運(yùn)營在多次其他攻擊活動中。

研究顯示，cuba攻擊流程大體是這樣的。首先，攻擊者使用偷來的賬戶憑證，通過現(xiàn)有的Mimikatz和Wicker工具升級特權(quán)。

然后，他們使用wedgcut進(jìn)行網(wǎng)絡(luò)偵察，再之后，他們使用RDP、SMB、PsExec和Cobalt Strike進(jìn)行橫向移動。

隨后部署的是便是由Termite加載的Bughatch和 Burntcigar，它們通過禁用安全工具為數(shù)據(jù)外泄和文件加密奠定了基礎(chǔ)。

Cuba不使用任何云服務(wù)來進(jìn)行數(shù)據(jù)滲漏，而是將所有信息發(fā)送到他們自己的私人基礎(chǔ)設(shè)施上。

惡意軟件進(jìn)化史

早在2021年5月，Cuba勒索軟件就與Hancitor惡意軟件的垃圾郵件運(yùn)營商合作，通過DocuSign釣魚郵件進(jìn)入公司網(wǎng)絡(luò)。

從那之后，Cuba逐步發(fā)展了針對面向公眾服務(wù)漏洞的攻擊，如Microsoft Exchange ProxyShell和ProxyLogon漏洞。

這一轉(zhuǎn)變使Cuba攻擊更加強(qiáng)大，但卻也更容易被防御，因?yàn)樵缭趲讉€月前修補(bǔ)那些漏洞的安全更新就已經(jīng)發(fā)布。

如果大多數(shù)有價值的目標(biāo)都已經(jīng)更新Microsoft Exchange漏洞補(bǔ)丁，Cuba攻擊就可能會將注意力轉(zhuǎn)向其他漏洞。

這就給了我們一個啟示，一旦軟件供應(yīng)商發(fā)布可用的安全更新，就立即應(yīng)用這些更新，這對我們而言至關(guān)重要，即使我們面對最復(fù)雜的攻擊者，我們也能夠保持強(qiáng)大的安全態(tài)勢。

參考來源：https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-cuba-ransomware/