21/08/23
Киберпреступная группировка Cuba продолжает атаковать критическую инфраструктуру США и IT-компании в Латинской Америке. Согласно отчету команды BlackBerry, хакеры начали использовать новую уязвимость, обозначенную как CVE-2023-27532.
Эта уязвимость влияет на продукты Veeam Backup & Replication (VBR). Эксплуатационный код для нее был доступен с марта 2023 года. Ранее тот же дефект позволял группе FIN7 проводить вымогательские кампании, поясняет Securitylab.
Команда BlackBerry объяснила: сначала Cuba использует украденные учетные данные администратора, чтобы получить доступ к системам через RDP (Remote Desktop Protocol — Протокол удаленного рабочего стола). Перебор паролей для этого не требуется. Затем, с помощью собственного инструмента загрузки «BugHatch», Cuba устанавливает связь с сервером управления и скачивает DLL-файлы или исполняет необходимые команды.
Чтобы проникнуть в целевую среду, злоумышленники применяют стейджер DNS в Metasploit, который расшифровывает и запускает шелл-код в оперативной памяти. Cuba также использует технику BYOVD (Bring Your Own Vulnerable Driver) для отключения средств защиты и инструмент «BurntCigar» для завершения процессов безопасности.
Кроме новой уязвимости в продуктах Veeam, хакеры эксплуатируют уязвимость CVE-2020-1472 («Zerologon») в протоколе NetLogon от Microsoft. Она позволяет получить расширенный доступ к контроллерам домена Active Directory. Дальше маяки Cobalt Strike и различные «lolbins» помогают управлять системой удаленно.
Согласно BlackBerry, группировкой движет финансовый интерес.
Американские исследователи предупреждают: Cuba оставалась активной угрозой на протяжении примерно четырех лет. Включение CVE-2023-27532 в ее арсенал только усложняет дело. Советуют своевременно обновлять механизмы безопасности для Veeam. Особенно важно не откладывать, так как уже существуют публично доступные примеры того, как эту уязвимость можно эксплуатировать.
