勒索軟件Cuba正利用微軟Exchange的漏洞進入企業(yè)網(wǎng)絡并對設備進行加密。知名網(wǎng)絡安全公司Mandiant追蹤到，使用該勒索軟件的團伙名為UNC2596，而勒索軟件本身的名字為COLDDRAW。其實，這個勒索軟件有一個更為人熟知的名字——Cuba，本文也將以這個名字引述它。

Cuba是一項于2019年年底啟動的勒索軟件行動，起初發(fā)展非常緩慢，但在2020年、2021年開始加速發(fā)展。隨著該軟件活動的日益活躍，聯(lián)邦調(diào)查局在2021年12月發(fā)布了一份關(guān)于Cuba勒索軟件的警告，警告稱該團伙已侵入美國49個關(guān)鍵基礎設施組織。此外，在的一份新報告中指出，Cuba行動主要針對的是美國，其次是加拿大。

混合性強卻是量身定制的惡意軟件

自2021年8月以來，Cuba勒索軟件團伙利用Microsoft Exchange漏洞部署網(wǎng)絡外殼、rat病毒和后門，試圖在目標網(wǎng)絡上建立據(jù)點。

這一點可以在Mandiant一份最新報告中得到驗證，“早在2021年8月，UNC2596就利用了包括ProxyShell和ProxyLogon在內(nèi)的微軟Exchange漏洞?！?/p>

被植入的后門包括Cobalt Strike和NetSupport Manager遠程訪問工具，但該組織也使用他們自己的“Bughatch”、“wedgcut”、“eck.exe”和“Burntcigar”工具。

以下是三種工具的簡單介紹：

• Wedgcut是一個通過PowerShell枚舉活動目錄的偵察工具，通常以名為“check.exe”的可執(zhí)行文件的形式出現(xiàn)。
• Bughatch是從C&C服務器獲取PowerShell腳本和文件的下載器。為了逃避檢測，它從遠程URL加載到內(nèi)存中。
• Burntcigar是一個可以利用Avast驅(qū)動程序中的漏洞在內(nèi)核級別終止進程的工具，該工具附帶了Avast驅(qū)動程序，用于“自帶脆弱驅(qū)動程序”攻擊。

此外，還有一個內(nèi)存模式的病毒釋放器，它獲取并加載上述有效載荷，被稱為Termite。其實，它倒也不是Cuba攻擊者專用，之前已經(jīng)被觀察到運營在多次其他攻擊活動中。

研究顯示，cuba攻擊流程大體是這樣的。首先，攻擊者使用偷來的賬戶憑證，通過現(xiàn)有的Mimikatz和Wicker工具升級特權(quán)。

然后，他們使用wedgcut進行網(wǎng)絡偵察，再之后，他們使用RDP、SMB、PsExec和Cobalt Strike進行橫向移動。

隨后部署的是便是由Termite加載的Bughatch和 Burntcigar，它們通過禁用安全工具為數(shù)據(jù)外泄和文件加密奠定了基礎。

Cuba不使用任何云服務來進行數(shù)據(jù)滲漏，而是將所有信息發(fā)送到他們自己的私人基礎設施上。

惡意軟件進化史

早在2021年5月，Cuba勒索軟件就與Hancitor惡意軟件的垃圾郵件運營商合作，通過DocuSign釣魚郵件進入公司網(wǎng)絡。

從那之后，Cuba逐步發(fā)展了針對面向公眾服務漏洞的攻擊，如Microsoft Exchange ProxyShell和ProxyLogon漏洞。

這一轉(zhuǎn)變使Cuba攻擊更加強大，但卻也更容易被防御，因為早在幾個月前修補那些漏洞的安全更新就已經(jīng)發(fā)布。

如果大多數(shù)有價值的目標都已經(jīng)更新Microsoft Exchange漏洞補丁，Cuba攻擊就可能會將注意力轉(zhuǎn)向其他漏洞。

這就給了我們一個啟示，一旦軟件供應商發(fā)布可用的安全更新，就立即應用這些更新，這對我們而言至關(guān)重要，即使我們面對最復雜的攻擊者，我們也能夠保持強大的安全態(tài)勢。

參考來源：https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-cuba-ransomware/