Küba fidye yazılımı operasyonu, şirket ağlarına ilk erişim sağlamak ve cihazları şifrelemek için Microsoft Exchange güvenlik açıklarından yararlanıyor.
Siber güvenlik firması Mandiant, fidye yazılımı çetesini UNC2596 olarak ve fidye yazılımının kendisini COLDDRAW olarak takip ediyor. Bununla birlikte, fidye yazılımı daha yaygın olarak Küba olarak bilinir; bu nedenle BleepingComputer bu makale boyunca bunlara atıfta bulunacaktır.
Küba, 2019’un sonunda başlatılan bir fidye yazılımı operasyonudur ve yavaş başlarken 2020 ve 2021’de hız kazanmaya başladılar. FBI, Küba fidye yazılımı uyarısı yayınlıyor Aralık 2021’de, çetenin ABD’deki 49 kritik altyapı kuruluşunu ihlal ettiği konusunda uyarıda bulundu.
Mandiant tarafından hazırlanan yeni bir raporda araştırmacılar, Küba operasyonunun öncelikle ABD’yi, ardından Kanada’yı hedef aldığını gösteriyor.
Mal ve özel kötü amaçlı yazılımı karıştırma
Küba fidye yazılımı çetesinin, Ağustos 2021’den bu yana hedef ağda yerlerini oluşturmak için web kabuklarını, RAT’leri ve arka kapıları dağıtmak için Microsoft Exchange güvenlik açıklarından yararlandığı görüldü.
“Mandiant, aşağıdakiler dahil olmak üzere Microsoft Exchange güvenlik açıklarından yararlanıldığını da belirledi. ProxyKabuğu ve ProxyOturum açmaUNC2596 tarafından muhtemelen Ağustos 2021 gibi erken bir tarihte kullanılan başka bir erişim noktası olarak,” diye açıklıyor Mandiant yeni rapor.
Yerleştirilen arka kapılar, Cobalt Strike veya NetSupport Manager uzaktan erişim aracını içerir, ancak grup ayrıca kendi ‘Bughatch’, ‘Wedgecut’ ve ‘eck.exe” ve Burntcigar’ araçlarını da kullanır.
kama kesim Active Directory’yi PowerShell aracılığıyla sıralayan bir keşif aracı olan “check.exe” adlı yürütülebilir dosya biçiminde gelir.
Bughatch C&C sunucusundan PowerShell komut dosyalarını ve dosyalarını getiren bir indiricidir. Algılamadan kaçınmak için uzak bir URL’den belleğe yüklenir.
yanmış puro araçla birlikte verilen bir Avast sürücüsündeki bir kusurdan yararlanarak işlemleri çekirdek düzeyinde sonlandırabilen bir yardımcı programdır.kendi savunmasız sürücünüzü getirin” saldırı.
Son olarak, yukarıdaki yükleri alan ve onları yükleyen, Termite adlı yalnızca bellekten oluşan bir damlalık vardır. Bununla birlikte, bu araç birden fazla tehdit grubunun kampanyalarında gözlemlenmiştir, bu nedenle yalnızca Küba tehdit aktörleri tarafından kullanılmamaktadır.
Tehdit aktörleri, kullanıma hazır Mimikatz ve Wicker araçları aracılığıyla elde edilen çalıntı hesap kimlik bilgilerini kullanarak ayrıcalıkları yükseltir.
Daha sonra Wedgecut ile ağ keşfi gerçekleştirirler ve ardından RDP, SMB, PsExec ve Cobalt Strike ile yanlamasına hareket ederler.
Sonraki dağıtım, Termite tarafından yüklenen Bughatch, ardından güvenlik araçlarını devre dışı bırakarak veri hırsızlığı ve dosya şifreleme için zemin hazırlayan Burntcigar’dır.
Küba çetesi, sızma adımı için herhangi bir bulut hizmeti kullanmıyor, bunun yerine her şeyi kendi özel altyapısına gönderiyor.
Gelişen bir operasyon
Mayıs 2021’de Küba fidye yazılımı spam operatörleri ile ortak oldu DocuSign kimlik avı e-postaları aracılığıyla kurumsal ağlara erişim elde etmek için Hancitor kötü amaçlı yazılımının
O zamandan beri Küba, operasyonlarını Microsoft Exchange gibi halka açık hizmet açıklarını hedef alacak şekilde geliştirdi. ProxyKabuğu ve ProxyOturum açma güvenlik açıkları.
Bu değişiklik, saldırıları daha güçlü hale getirirken, aynı zamanda, istismar edilen sorunları gideren güvenlik güncellemelerinin aylardır mevcut olması nedeniyle, engellenmesini de kolaylaştırıyor.
Yama uygulanmamış Microsoft Exchange sunucularını çalıştıran daha değerli hedefler kalmadığında, Küba operasyonu büyük olasılıkla dikkatini diğer güvenlik açıklarına çevirecektir.
Bu, yazılım satıcıları bunları yayınlar yayınlamaz mevcut güvenlik güncellemelerinin uygulanmasının, en karmaşık tehdit aktörlerine karşı bile sağlam bir güvenlik duruşu sağlamanın anahtarı olduğu anlamına gelir.