Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Киберпираты Cuba нашли новую лазейку для атак на США и Латинскую Америку

21/08/23

CUBA ransomware

Киберпреступная группировка Cuba продолжает атаковать критическую инфраструктуру США и IT-компании в Латинской Америке. Согласно отчету команды BlackBerry, хакеры начали использовать новую уязвимость, обозначенную как CVE-2023-27532.

Эта уязвимость влияет на продукты Veeam Backup & Replication (VBR). Эксплуатационный код для нее был доступен с марта 2023 года. Ранее тот же дефект позволял группе FIN7 проводить вымогательские кампании, поясняет Securitylab.

Команда BlackBerry объяснила: сначала Cuba использует украденные учетные данные администратора, чтобы получить доступ к системам через RDP (Remote Desktop Protocol — Протокол удаленного рабочего стола). Перебор паролей для этого не требуется. Затем, с помощью собственного инструмента загрузки «BugHatch», Cuba устанавливает связь с сервером управления и скачивает DLL-файлы или исполняет необходимые команды.

Чтобы проникнуть в целевую среду, злоумышленники применяют стейджер DNS в Metasploit, который расшифровывает и запускает шелл-код в оперативной памяти. Cuba также использует технику BYOVD (Bring Your Own Vulnerable Driver) для отключения средств защиты и инструмент «BurntCigar» для завершения процессов безопасности.

Кроме новой уязвимости в продуктах Veeam, хакеры эксплуатируют уязвимость CVE-2020-1472 («Zerologon») в протоколе NetLogon от Microsoft. Она позволяет получить расширенный доступ к контроллерам домена Active Directory. Дальше маяки Cobalt Strike и различные «lolbins» помогают управлять системой удаленно.

Согласно BlackBerry, группировкой движет финансовый интерес.

Американские исследователи предупреждают: Cuba оставалась активной угрозой на протяжении примерно четырех лет. Включение CVE-2023-27532 в ее арсенал только усложняет дело. Советуют своевременно обновлять механизмы безопасности для Veeam. Особенно важно не откладывать, так как уже существуют публично доступные примеры того, как эту уязвимость можно эксплуатировать.

Темы:СШАКубаПреступленияВымогателиЛатинская Америка
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...