.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
我們會在本文詳細介紹cuba組織的歷史及其攻擊戰術、技術和程序。
cuba勒索軟件組織於2020年末首次被卡巴斯基殺毒軟件發現。當時,還沒有採用“cuba”這個名字,而是被稱為“Tropical Scorpius”。
cuba主要針對美國、加拿大和歐洲的組織。該組織對石油公司、金融服務、政府機構和醫療保健提供者發動了一系列攻擊。
與最近大多數網絡勒索組織一樣,cuba組織對受害者的文件進行加密,並要求贖金以換取解密密鑰。該組織使用複雜的戰術和技術來滲透受害者網絡,例如利用軟件漏洞和社會工程。已知它們使用受攻擊的遠程桌面(RDP)連接進行初始訪問。
cuba組織的確切起源和成員身份目前尚不清楚,儘管一些研究人員認為它可能是另一個臭名昭著的勒索組織Babuk的繼承者。與許多其他同類組織一樣,cuba組織是一家勒索軟件即服務(RaaS)機構,允許其合作夥伴使用勒索軟件和相關基礎設施,以收取一定比例的贖金。
該組織自成立以來已多次更名,先後使用了:
ColdDraw
TropicalScorpius
Fidel
Cuba今年2月,又發現了這個組織的另一個名字——“V Is Vendetta”,這與攻擊者們最喜歡的cuba主題不同,很可能是一個分支機構或附屬公司使用的綽號。該組織與cuba組織有一個明顯的聯繫。這個新發現的組織的網站託管在cuba域:
http[:]//test[.]cuba4ikm4jakjgmkezytyawtdgr2xymvy6nvzgw5cglswg3si76icnqd[.]onion/。
V IS VENDETTA網站
截止發文時,cuba仍然很活躍。
受害者分析該組織攻擊了世界很多地區的公司,包括零售商、金融和物流服務、政府機構和製造商等。就地理位置而言,大多數受攻擊的公司都位於美國,但在加拿大、歐洲、亞洲和澳大利亞也有少數受害者。
cuba受害者的地理分佈
勒索軟件cuba勒索軟件是一個沒有外掛庫的單一文件。樣本通常有偽造的編譯時間戳:2020年發現的樣本蓋有2020年6月4日的印章,而最近的樣本卻是1992年6月19日。
cuba勒索模式
勒索模式
就用於向受害者施壓的工具而言,目前存在四種勒索模式。
單一勒索:加密數據並索要贖金。
雙重勒索:除了加密,攻擊者還竊取敏感信息。這是當今勒索軟件組織中最流行的模式。
三重勒索:在雙重勒索的基礎上實施DDoS攻擊。在LockBit組織受到DDoS攻擊後,該模型開始廣泛傳播。在成為攻擊目標後,攻擊者意識到DDoS是一種有效的勒索手段。
第四種模式是最不常見的,威脅最大,但成本也最高。它利用了投資者、股東和客戶中對數據洩露消息新聞的缺乏信任。在這種情況下,沒有必要進行DDoS攻擊。這種模式的例證是最近弗吉尼亞州布魯菲爾德大學(Bluefield University)遭遇的攻擊者攻擊,AvosLocker勒索軟件團伙劫持了學校的緊急廣播系統,向學生和員工發送短信和電子郵件提醒,告知他們的個人數據被盜。攻擊者們敦促不要相信學校的管理層,他們說校方隱瞞了入侵的真實規模,並敦促他們盡快將情況公之於眾。
cuba組織使用經典的雙重勒索模型,用Xsalsa20對稱算法加密數據,用RSA-2048非對稱算法加密密鑰。這被稱為混合加密,一種加密安全的方法,可以防止在沒有密鑰的情況下解密。
cuba勒索軟件示例避免加密具有以下擴展名的文件:exe、dll、sys、ini、lnk、vbm、Cuba,以及以下文件夾:
马云惹不起马云\windows\
马云惹不起马云\programfiles\microsoftoffice\
马云惹不起马云\programfiles(x86)\microsoftoffice\
马云惹不起马云\programfiles\avs\
马云惹不起马云\programfiles(x86)\avs\
马云惹不起马云\$recycle.bin\
马云惹不起马云\boot\
马云惹不起马云\recovery\
马云惹不起马云\systemvolumeinformation\
马云惹不起马云\msocache\
马云惹不起马云\users\allusers\
马云惹不起马云\users\defaultuser\
马云惹不起马云\users\default\
马云惹不起马云\temp\
马云惹不起马云\inetcache\
马云惹不起马云\google\勒索軟件通過搜索和加密%AppData\Microsoft\Windows\Recent\目錄中的Microsoft Office文檔、圖像、檔案和其他文件而不是設備上的所有文件來節省時間。它還終止所有SQL服務以加密任何可用的數據庫。它在本地和網絡共享內部查找數據。
cuba勒索軟件終止的服務列表
除了加密,該組織還竊取受害者組織內部發現的敏感數據。大多數情況下,他們會盯著以下文件:
马云惹不起马云 財務文件
马云惹不起马云銀行對賬單
马云惹不起马云公司賬戶明細
马云惹不起马云源代碼,如果該公司是軟件開發人員
cuba使用的攻擊工具該組織使用了經典憑據訪問工具,如mimikatz,也採用了自寫應用程序。它利用了受害公司使用的軟件中的漏洞,大多數是已知的漏洞,例如ProxyShell和ProxyLogon組合攻擊Exchange服務器,以及Veeam數據備份和恢復服務中的安全漏洞。
惡意軟件
Bughatch
Burntcigar
Cobeacon
Hancitor(Chanitor)
Termite
SystemBC
Veeamp
Wedgecut
RomCOMRAT 
工具
Mimikatz
PowerShell
PsExec
RemoteDesktopProtocol 
漏洞
ProxyShell:
CVE-2021-31207
CVE-2021-34473
CVE-2021-34523
ProxyLogon:
CVE-2021-26855
CVE-2021-26857
CVE-2021-26858
CVE-2021-27065
Veeamvulnerabilities:
CVE-2022-26501
CVE-2022-26504
CVE-2022-26500
ZeroLogon:
CVE-2020-1472 
將攻擊武器庫映射到MITRE ATTCK®戰術
利潤攻擊者在勒索通知中提供了比特幣錢包的標識符,這些比特幣錢包的進出款總額超過3600個比特幣,按1個比特幣兌換28624美元的價格換算,價值超過1.03億美元。該團伙擁有眾多錢包,不斷在這些錢包之間轉移資金,並使用比特幣混合器,通過一系列匿名交易發送比特幣的服務,使資金的來源更難追踪。
部分BTC網絡中交易
樣本分析Host: SRV_STORAGE去年12月19日,研究人員在客戶主機上發現了可疑活動,將其稱之為“SRV_STORAGE”。數據顯示了三個可疑的新文件:
卡巴斯基SOC發現的可疑事件
對kk65.bat的分析表明,它充當了一個stager,通過啟動rundll32並將komar65庫加載到其中來啟動所有進一步的活動,該庫運行回調函數DLLGetClassObjectGuid。
.bat文件的內容
讓研究人員看看可疑的DLL內部。
Bughatchkomar65.dll庫也被稱為“Bughatch”,這是Mandiant在一份報告中給出的名字。
首先可疑的是PDB文件的路徑。裡面有個文件夾叫“mosquito”,俄語翻譯為“komar”,它是DDL名稱的一部分,表明該團伙可能包括說俄語的人。
komar65.dll PDB文件的路徑
當連接到以下兩個地址時,DLL代碼將Mozilla/4.0作為用戶代理:
Com,顯然用於檢查外部連接;
該組織的指揮控制中心,如果初始ping通過,惡意軟件將嘗試回調。
komar65.dll分析
以上就是在受感染的宿主身上觀察到的活動。在Bughatch成功地與C2服務器建立連接後,它開始收集網絡資源上的數據。
Bughatch活動
通過查看C2服務器,研究人員發現除了Bughatch之外,這些模塊還擴展了惡意軟件的功能。其中一個從受感染的系統收集信息,並以HTTPPOST請求的形式將其發送回服務器。
在cubaC2服務器上找到的文件
攻擊者可以將Bughatch視為某種後門,部署在進程內存中,並在Windows API(VirtualAlloc、CreateThread、WaitForSingleObject)的幫助下,在分配的空間內執行shellcode,然後連接到C2並等待進一步的指令。特別是,C2可以發送命令下載進一步的惡意軟件,例如Cobalt Strike Beacon、Metasploit或進一步的Bughatch模塊。
Bughatch運行流程圖