概括
BlackBerry发现并记录了Cuba勒索软件威胁组织使用的新工具。
Cuba勒索软件目前已进入第四个年头,并且没有任何放缓的迹象。仅在 2023 年上半年,Cuba勒索软件背后的运营商就在不同行业发起了数起备受瞩目的攻击。
BlackBerry 威胁研究和情报团队调查了该威胁组织 6 月份发起的一项活动,该活动最终对美国关键基础设施部门的一家组织以及拉丁美洲的一家 IT 集成商发起了攻击。据信源自俄罗斯的Cuba威胁组织部署了一组恶意工具,这些工具与该攻击者之前的相关活动重叠,并引入了新工具,包括首次观察到的 Veeam 漏洞 CVE-2023 漏洞利用-27532。
请注意,在发布本报告之前,BlackBerry 已私下与相关机构共享此信息,以支持全球组织的安全性和弹性。
本报告记录了我们的发现并详细分析了这些最新攻击的技术细节,并深入讨论了Cuba威胁组织所使用的战术、技术和程序 (TTP) 的最新演变。
MITRE ATT&CK ®简介
攻击手段和技术概述
技术分析
Context
六月初,作为我们对Cuba威胁组织持续监控的一部分,我们发现了针对美国组织的攻击的证据,并决定进行调查。我们发现了一套完整的 TTP,其中许多与 之前看到的Cuba攻击重叠,并且包含全面的攻击工具集。
其中包括 BUGHATCH(自定义下载器)、BURNTCIGAR(反恶意软件杀手)、Metasploit 和 Cobalt Strike 框架,以及众多 Living-off-the-Land 二进制文件 (LOLBINS)。我们还发现了一些具有免费可用的概念验证(PoC)代码的漏洞。
Cuba勒索软件组织是谁?
图 1:Cuba勒索软件泄露站点
Cuba勒索软件(也称为 COLDDRAW 勒索软件)于 2019 年首次出现在威胁领域,此后几年已经建立了一个相对较小但经过精心挑选的受害者名单。由于所有加密文件的开头都放置了特征标记,因此它也被称为 Fidel 勒索软件。该文件标记用作向勒索软件及其解码器指示文件已加密的指示符。
尽管其名称和泄露网站上有古巴民族主义风格,但它不太可能与古巴共和国有任何联系或隶属关系。Profero 的研究人员此前曾将其与讲俄语的威胁行为者联系起来,因为他们发现了一些语言错误翻译细节,以及在威胁行为者自己的泄露网站上发现了包含俄语文本的 404 网页。
根据对该活动中使用的代码的字符串分析,我们还发现有迹象表明Cuba勒索软件背后的开发者是俄语的。勒索软件会自动终止在设置为俄语或具有俄语键盘布局的主机上的执行,这一事实进一步强化了这一理论。
与许多勒索软件运营商一样,Cuba利用双重勒索的方式“鼓励”受害者付款。去年秋天,美国执法部门发布的联合通报 称,截至 2022 年 8 月,Cuba勒索软件组织据信已经危害了 101 个实体,其中 65 个位于美国,36 个位于美国境外。其间,它要求支付 1.45 亿美元的赎金,并收到高达 6000 万美元的赎金。
在过去四年中,Cuba使用了一套类似的核心 TTP,但每年略有变化。这些通常包括 LOLBins(作为操作系统一部分的可执行文件,可用于支持攻击)、漏洞利用、商品和自定义恶意软件以及流行的合法渗透测试框架,例如 Cobalt Strike 和 Metasploit。
此外,在 2022 年的某个时候,该组织似乎与工业间谍市场的运营商建立了关系,基于两个运营商勒索软件的相似性,利用他们的平台作为泄密网站。
另外值得注意的是,Cuba自己的泄密网站在过去几个月里断断续续地上线和下线。根据我们的观察,只要有新的受害者据称受到损害并被列出,该网站就会重新上线,然后再次关闭。
攻击向量
我们对所有的攻击进行了分析,得出了凭据重用方案。目标组织妥协的第一个证据是通过远程桌面协议(RDP)成功登录管理员级别。此次登录没有证据表明之前的登录尝试无效,也没有证据表明存在暴力或利用漏洞等技术。这意味着攻击者可能在攻击之前通过其他一些邪恶手段获得了有效凭据。
以前的Cuba攻击都是利用漏洞或初始访问代理 (IAB)来获取访问权限。
Weaponization
Cuba的工具包由各种定制和现成的部件组成,其中许多部件已在过去的竞选活动中使用过,并与该组织之前看到的 TTP 保持一致。
BUGHATCH
第一阶段从 BUGHATCH 的部署和执行开始,BUGHATCH 是一个轻量级自定义下载器,可能是由Cuba勒索软件成员开发的,因为它只被看到是由他们在野外操作的。它建立与命令和控制 (C2) 服务器的连接,并下载攻击者选择的有效负载,通常是小型 PE 文件或 PowerShell 脚本。BUGHATCH 还可以执行文件或命令,包括让操作员选择如何执行有效负载。
在 之前的活动中,BUGHATCH 通常是通过 PowerShell dropper 检索和部署的,或者通过基于 PowerShell 的脚本加载到内存中。我们调查的活动依赖四个独立的 DLL 来获取和加载“agent32/64.bin”BUGHATCH 有效负载。
所有四个 DLL 均使用 Microsoft 基础类 (MFC) 库 ,并从受感染主机上的不同位置启动;每个人在执行上都有轻微的偏差。这是通过“rundll32.exe”实用程序和特定命令调用特定导出来执行的。
Metasploit DNS 阶段
Cuba运营商利用 Metasploit 在目标环境中获得初步立足点,特别是 嵌入 DLL 中的dns_txt_query_exec 负载。一旦通过特定的导出执行,他们将继续解密内存中的 shellcode 并运行它。
shellcode 对 DNS 记录集执行 TXT 查询,然后执行返回的有效负载。
图 2:DNS stager 查询 C2
Wedgecut
这是一个主机枚举工具,它接受由 IP 地址或主机列表组成的参数,然后使用 Internet 控制消息协议 (ICMP) 数据包来检查它们是否在线。在此活动中观察到的二进制文件与研究人员之前 在 2022 年初另一次Cuba泄露事件中记录的二进制文件完全匹配(文件名 + SHA256) 。
防御规避
作为攻击顺序的一部分,施展了大量的防御规避技术。从尝试手动卸载端点保护,到组策略修改以及(最值得注意的是)使用自带易受攻击的驱动程序 (BYOVD)技术。
BYOVD最近引起了相当多的关注,但这种技术对该群体来说很熟悉。不同供应商之前的报告显示,在部署 Cuba 勒索软件以终止端点安全产品之前,使用了Mandiant 称为BURNTCIGAR的工具的多种变体。
BURNTCIGAR
BURNTCIGAR 是一个在内核级别终止给定进程的实用程序。这种已知的恶意软件利用 DeviceIoControl 功能来利用其打算与之交互的易受攻击的驱动程序的未记录的 I/O 控制节点 (IOCTL) 代码。几种不同的驱动程序已与此恶意软件结合使用,例如aswArPot.sys、ApcHelper.sys和 KApcHelper_x64.sys等。
在此活动中观察到继续使用 aswArPot.sys、KApcHelper_x64.sys,此外还使用了易受攻击的 Process Explorer 驱动程序procexp152.sys。今年早些时候,该驱动程序曾被 Meduza Locker 和LockBit滥用过。这些样本是通过简单的批处理脚本加载的,或者对于 KApcHelper_x64.sys,嵌入了自加载功能。
另一个区别是恶意软件本身的幕后更新。在以前的版本中,它包含要杀死的目标进程的明文硬编码列表;然而,在该活动中看到的一个变体中,该列表是使用 CRC-64/ECMA-182 算法进行哈希处理的。解码后,它包含与之前的Cuba活动重叠的进程列表。我们还观察到几个利用 Microsoft 基础类 (MFC) 库的示例,与前面描述的 BUGHATCH 示例中看到的情况类似。
执行上又出现了偏差。对于使用 KApcHelper_x64.sys驱动程序的 BURNTCIGAR 示例, 使用了一个名为proname.dbt 的文件 ,其中包含进程的“终止”列表。然后用于在主机上的进程枚举期间读取数据,以比较并终止进程(如果发生匹配)。
最终的总杀灭列表总共包含超过 200 个目标进程,其中许多是反恶意软件端点解决方案和工具。
利用
我们发现此活动中部署了两个漏洞,这与该组织之前发现的 TTP 一致。不同之处在于,据我们所知,这是Cuba威胁行为者第一次使用易受攻击的进程CVE-2023-27532。
CVE-2020-1472 — NetLogon
该漏洞 涉及微软的NetLogon协议(MS-NRPC)。如果攻击者使用 MS-NRPC 创建易受攻击的连接来获取管理员访问权限,它允许针对 Active Directory (AD) 域控制器 (DC) 的权限升级。
由于登录过程中的初始化向量 (IV) 全部设置为零而不是随机数,因此被称为“ZeroLogon”,如果成功利用,威胁行为者可能会危害并控制易受攻击的域。
此次活动中用于利用此漏洞的二进制文件与 Cuba运营商 之前 在 2022 年至今的多次攻击中使用的二进制文件相同。
图 3:CVE-2020-1472 漏洞利用帮助选项菜单
CVE-2023-27532 — Veeam
此漏洞会影响合法的 Veeam Backup & Replication 软件,使攻击者有可能获得对受害者设备上配置文件中存储的凭据的访问权限。
它可以通过Veeam 备份服务来利用该服务在默认 TCP 端口 9401 上运行。
多个威胁参与者在发现此 CVE 后就利用了该 CVE,例如 2023 年 3 月下旬的Fin7 组织。
该漏洞通过访问 Veeam 应用程序组件(Veeam.Backup.Service.exe)上公开的 API 来发挥作用。此漏洞存在于版本 11a(版本 11.0.1.1261 P20230227)和版本 12(版本 12.0.0.1420 P20230223)之前的任何 Veeam Backup & Replication 软件版本中。
图 4:默认端口 9401 上的易受攻击的应用程序
其他值得注意的工具
Cuba威胁行为者依赖多种常见的内置工具,例如 用于发现的 ping.exe和 用于各种目的(例如横向移动)的 cmd.exe。
cmd.exe /C copy .{dll|bat} \c$windowstemp
与nltest实用程序结合使用时的域控制器 (DC) 枚举,它与/dclist开关一起使用,在提供目标公司的域名时返回域控制器列表。
cmd.exe /C nltest /dclist:
网络管理实用程序 - net.exe - 主要用于显示各个主机上的时间同步,而 PSexec 则 提升权限并在网络中进行更深入的控制。
除了上面提到的 LOLBins 之外,还有一个 netpingall.exe ,顾名思义,它是一个枚举工具,它使用 Internet 控制消息协议 (ICMP) 来发现网络中其他活动的主机。有趣的是,这与两年多前的Hancitor 活动中使用的二进制文件相同 。
Cobalt Strike Beacon也是该工具集的一部分,并在利用后部署以进行权限升级和 C2 通信。
图5:主执行链图
网络基础设施
在此活动中观察到的与 BUGHATCH 恶意软件传播相关的 C2 基础设施此前在过去的Cuba活动中被视为妥协指标 (IOC)。
所有三个 IP 均使用 SSL 证书进行签名,该证书在启动后可用于签署其他基础设施。
Cuba运营商在暗网上维护着一个“.onion”网页,可通过TOR 网络访问。该网站以古巴民族主义风格为主题,有国旗以及古巴前领导人菲德尔·卡斯特罗和古巴革命主要人物切·格瓦拉的照片。格瓦拉的风格化面孔已成为流行文化中反叛的反文化象征和全球徽章。
表 1:Cuba泄密网站 URL
泄露网站还包含一份所谓受害者的名单,以及他们的公司徽标和网站地址、公司的基本信息、“收到”文件的日期以及泄露的信息。其中包括对哪些被盗数据可用的高级描述。还需要注意的是,这些数据是免费的还是只能通过付费才能获得,具体取决于数据的敏感性/潜在价值以及受害者组织的概况。
图6:Cuba威胁组织的泄密地点
值得注意的一个有趣的点是,该网站在过去几个月里时不时地出现在线和离线状态,似乎在短时间内重新上线,以配合据称有新受害者被入侵并列出的情况,然后再次关闭。
目标
此次攻击活动的目标是美国的一家关键基础设施公司和拉丁美洲的一家系统集成商。
图 7:此活动中目标受害者的地理位置
归因
由于利用勒索软件的活动的本质,很容易得出结论,Cuba勒索软件背后的威胁行为者是出于经济动机。根据 Profero 研究人员记录的上述语言和基于文本的详细信息,包括在具有俄语或键盘布局的机器上终止执行,其背后的威胁行为者很可能是讲俄语的。关于Cuba组织起源的另一个重要线索是,在勒索软件存在的整个过程中,其运营商选择的受害者主要是西方(或盟国)、民主、英语国家。
结论
我们的调查表明,Cuba威胁组织继续以关键基础设施等关键部门的实体为目标。
Cuba勒索软件运营商继续回收网络基础设施,并使用一组核心 TTP,他们在每次活动中都对这些 TTP 进行了巧妙的修改,一旦有机会,通常会采用现成的组件来升级其工具集。一个例子是对关键漏洞的利用方式的改变;虽然他们之前曾被发现利用CVE-2020-1472 / Zerologon,但这似乎是他们第一次针对CVE-2023-27532 / Veeam。
此外,威胁行为者还对其一些自定义工具进行了一些底层修改,这可能是作为一种阻碍检测和分析的机制,正如在 BURNTCIGAR 代码库中包含哈希功能所看到的那样。
任何更新都可能旨在优化其在活动期间的执行,我们预计在不久的将来会看到该组织的持续活动。
Cuba勒索软件:缓解建议
1、确保有最新的补丁管理程序。
2、实施适当的电子邮件网关解决方案,以帮助防止网络钓鱼并阻止垃圾邮件,这些邮件被用作初始感染媒介。
3、如果发生漏洞,正确的网络分段有助于减缓或遏制Cuba勒索软件的攻击。
4、实施强大且最新的全面数据备份解决方案。
5、部署配备 AI 的端点保护平台,以防范 Cuba 勒索软件,例如CylanceENDPOINT™。
6、实施安全意识培训并定期举办课程,重点是建立良好的网络卫生实践。
7、确保现代防火墙解决方案到位。
8、实施 VPN 和多重身份验证 (2FA) 解决方案以连接到内部网络。
IOC
转载来源: https://blogs.blackberry.com/en/2023/08/cuba-ransomware-deploys-new-tools-targets-critical-infrastructure-sector-in-the-usa-and-it-integrator-in-latin-america
图片来源网络侵权可联系删除