Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Серверы Microsoft Exchange атакованы вымогателем Cuba

28/02/22

cuba-header

Операторы вымогательского ПО Cuba используют уязвимости в Microsoft Exchange для получения начального доступа к корпоративным сетям и шифрования устройств. Специалисты ИБ-компании Mandiant отслеживают вымогательскую группировку под названием UNC2596, а саму программу-вымогатель — как COLDDRAW (также известную, как Cuba).

Киберпреступники в первую очередь нацелены на устройства Microsoft Exchange в США, а также в Канаде. Хакеры используют уязвимости ProxyShell и ProxyLogon в Microsoft Exchange для развертывания web-оболочек, троянов для удаленного доступа и бэкдоров с августа 2021 года. Бэкдоры включают маячки Cobalt Strike и инструмент удаленного доступа NetSupport Manager, но группировка также использует собственные инструменты Bughatch, Wedgecu, eck.exe и Burntcigar.

Wedgecut поставляется в виде исполняемого файла с именем check.exe, который представляет собой инструмент разведки для перечисления Active Directory через PowerShell.

Bughatch — загрузчик, извлекающий скрипты и файлы PowerShell с командного сервера. Вредонос загружается в память с удаленного URL-адреса с целью избежать обнаружения.

Burntcigar — утилита, способная завершать процессы на уровне ядра, используя уязвимость в драйвере Avast.

Злоумышленники повышают привилегии, используя украденные учетные данные, полученные с помощью доступных инструментов Mimikatz и Wicker. Затем они проводят разведку сети, используя Wedgecut, и перемещаются по сети с помощью RDP, SMB, PsExec и Cobalt Strike.

Темы:СШАПреступленияВымогателиMicrosoft Exchange
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...